Artikler

Hva er pseudonymisering?

Pseudonymisering er et sikkerhetstiltak som innebærer at personopplysninger behandles slik at de ikke lenger kan knyttes til en bestemt registrert person uten bruk av tilleggsinformasjon, ofte omtalt som identifikasjonsnøkkel. I praksis erstattes direkte identifiserende opplysninger med en referanse (for eksempel byttes navnet “Kari” med user_123), slik at den registrerte ikke kan identifiseres ut fra datasettet alene. Reidentifisering kan først skje når en både har tilgang til pseudonymisert data og den aktuelle identifikasjonsnøkkelen.

Vi lever i en verden med stadig strengere reguleringer for bruk av data og teknologi. Særlig EU er kritisert for at reguleringer kveler innovasjon. Samtidig opplever vi en teknologiutvikling som går fortere enn noen gang. Nye virksomheter og løsninger tar verden med storm. Fellesnevner er data og innsikt. Men, det som er spennende i dag kan ha konsekvenser for fremtiden. Det er bare å se til hva som skjer i USA. Hva enkeltpersoner skrev eller likte på sosiale medier for noen år siden har nå konsekvenser for innreise, jobbsikkerhet, studier etc under dagens regime.

Har du og din virksomhet fått med deg alle forpliktelsene i Data Act, Data Governance Act, AI Act, Digital Markets Act, Digital Services Act, NIS2, GDPR og Åpenhetsloven? Nei? De færreste har det, selv om disse rettsaktene forplikter de fleste norske bedrifter og kommuner.

De siste årene har utviklingen av kunstig intelligens (KI) gått i en rekordfart. Dette har gjort bruken av KI til allemannseie, og potensialet for bruken er enormt. Som et resultat er KI på full fart inn i virksomheter. Digitaliseringsminister Karianne Tung har selv satt et mål om at innen 2025 skal 80 prosent av offentlig sektor ta i bruk KI. De som ikke allerede nå ser på hvordan det kan brukes i deres virksomhet, risikerer å komme på etterskudd.

Personvern er ikke bare en compliance risiko, det er en forretningsrisiko. Kanskje det er på tide å behandle den som det også?

Alle virksomheter er til enhver tid ansvarlig for at behandlingen av personopplysninger er sikker og lovlig. Selv når behandlingen overlates til en databehandler, plikter begge parter å sikre at GDPR etterleves i alle ledd (se f.eks. art. 5 nr. 2, art. 24, art. 28, mv.).

Som enkeltpersoner forventer vi at biler testes før ny funksjonalitet blir sluppet, hvorfor skal vi da akseptere nye behandlinger av våre opplysninger før risikoen er ordentlig vurdert.

I GDPRs kapittel 3 om de registrertes rettigheter er det skrevet mye om våre rettigheter til innsyn, retting og sletting. Det som ikke har vært fokusert så mye på er artikkel 19 - underretningsplikten.

For å lykkes med digitale endringsprosesser er det behov for å se prosjektledelse, arkitektur og design i sammenheng med personvern og informasjonssikkerhet.