Pseudonymisering er et sikkerhetstiltak som innebærer at personopplysninger behandles slik at de ikke lenger kan knyttes til en bestemt registrert person uten bruk av tilleggsinformasjon, ofte omtalt som identifikasjonsnøkkel. I praksis erstattes direkte identifiserende opplysninger med en referanse (for eksempel byttes navnet “Kari” med user_123), slik at den registrerte ikke kan identifiseres ut fra datasettet alene. Reidentifisering kan først skje når en både har tilgang til pseudonymisert data og den aktuelle identifikasjonsnøkkelen.
Identifikasjonsnøkkelen som gjør reidentifisering mulig holdes separat fra datasettet. Det er kun den behandlingsansvarlige (og eventuelt andre som er gitt tilgang), som kan bruke nøkkelen til å knytte opplysningene tilbake til en konkret person. Dette reduserer risikoen for at en tredjepart, for eksempel en databehandler, kan koble opplysninger til navngitte personer, samtidig som datanytten bevares fordi data fortsatt kan brukes til blant annet analyse, drift og forbedring av tjenester.
Et sentralt mulighetsrom for bruk av pseudonymisering oppstår når virksomheter ønsker å ta i bruk tjenester hvor personopplysninger behandles utenfor EU/EØS, enten ved lagring eller fjentilgang til opplysningene gjennom blant annet supporttjenester. Det stilles tydelige krav etter GDPR ved overføring av personopplysninger utenfor EU. Slik overføring er kun lovlig hvis det foreligger et gyldig overføringsgrunnlag. Eksempler på slike grunnlag er adekvansbeslutninger og standardkontrakter (Standard Contractual Clauses ‘SCC’ og Binding Corporate Rules ‘BCR’) som er godkjent av Europakommisjonen.
EU-domstolen la imidlertid til grunn i Schrems II dommen at standardkontrakter ikke nødvendigvis gir tilstrekkelig beskyttelsesnivå etter EUs standard, og at det derfor må gjennomføres en konkret vurdering knyttet til det aktuelle programmet av om beskyttelsesnivået i praksis kan bli undergravd av forhold i tredjelandet, eller om det må iverksettes supplerende sikkerhetstiltak utover den aktuelle standardkontrakten. I denne vurderingen skal det sees på om standardkontrakten faktisk vil fungere i praksis i lys av lovgivning og myndighetspraksis i mottakerlandet, herunder hvilke typer personopplysninger som overføres, hva de skal brukes til, hvem som får tilgang, og om det finnes et mønster for at myndigheter etterspør eller får tilgang til tilsvarende data. At opplysningene fremstår som lite sensitive, eller at sannsynligheten for myndighetsinteresse oppleves liten, medfører ikke i seg selv et gyldig overføringsgrunnlag.
For tredjeland som ikke anses å ha tilstrekkelig beskyttelse, peker Personvernrådet (EDPB) i Recommendations 01/2020 på at supplerende tiltak kan være nødvendig, og et av de skisserte tekniske tiltakene som kan bidra til å sikre personopplysninger ved slike overføringer er nettopp pseudonymisering. Også Datatilsynet og EU-domstolen anerkjenner pseudonymisering som et godt supplerende sikkerhetstiltak.
Et annet viktig mulighetsrom pseudonymisering kan skape er trygg overføring av personopplysninger til USA. Per i dag (18.01.26) er overføring av personopplysninger til USA, når mottakeren er omfattet av EU–US Data Privacy Framework (DPF), lovlig uten ytterligere sikkerhetstiltak.
Likevel er det i lys av den geopolitiske situasjonen i dag et faktum at omstendighetene i USA, og EUs forhold til USA kan endre seg raskt. Slik datatilsynet beskriver det er derfor høy risiko for at reglene knyttet til overføring til USA før eller siden utfordres av EU-domstolen. Datatilsynets råd er derfor at virksomheter bør ha en exit-strategi dersom personopplysninger ikke lenger kan overføres til USA på samme måte som i dag, og at det trolig ikke vil komme en lang overgangsperiode dersom grunnlaget faller bort. Pseudonymisering fungerer som en ekstra sikkerhetsmargin, særlig dersom virksomheten ønsker å redusere påvirkning av politiske og rettslige svingninger.
Pseudonymisering kan også skape bredere mulighet for videre behandling av personopplysninger internt i virksomheten. Mange virksomheter har behov og ønske om å anvende personopplysninger til andre formål enn det opprinnelige innsamlingsformålet, dette kan for eksempel være dersom data først ble samlet inn for å levere en tjeneste, men senere ønskes brukt til innsiktsarbeid, analyse, forbedring av prosesser eller utvikling av nye løsninger.
For slik videre behandling stiller GDPR krav om en kompatibilitetsvurdering, og GDPR artikkel 6.4 e peker uttrykkelig på at egnede garantier er tekniske tiltak som pseudonymisering. I praksis innebærer dette at pseudonymisering gjør det enklere for virksomheter å ta i bruk innhentede personopplysninger til nye interne formål uten at identiteten til enkeltpersoner behøver å gjøres tilgjengelig for de som jobber med dataene i den videre behandlingen.
Dersom din virksomhet ønsker ytterligere informasjon om pseudonymisering som teknisk supplerende sikkerhetstiltak har Iconfirm utarbeidet en veileder for mulig løsning.