Pseudonymisering
Innan du delar data kan du behöva skydda informationen från att kopplas till ett visst objekt. Ett sätt att göra det är att pseudonymisera uppgifterna. Det innebär att du ersätter uppgifter som kan identifiera ett objekt, exempelvis namn och id-nummer, med ett löpnummer. Att ersätta uppgifter med löpnummer försvårar identifiering, men utesluter inte möjligheten helt.
Pseudonymisering är att ersätta identiteter, exempelvis person- eller organisationsnummer, med ett löpnummer eller en kod. När sådana uppgifter tagits bort eller ersatts blir det svårare att identifiera personer eller företag. Det kan dock fortfarande vara möjligt att identifiera dem.
Kom ihåg att det även finns andra identiteter än personnummer och organisationsnummer som tillsammans med andra källor kan göra det lätt att identifiera en person eller ett företag. Exempel på andra uppgifter kan vara ärendenummer, dossiernummer eller annat.
Pseudonymisering enligt dataskyddsförordningen
Pseudonymisering enligt dataskyddsförordningen (GDPR) innebär att personuppgifter inte längre kan kopplas till en specifik person utan att kompletterande information används. För att uppgifterna ska anses psedonymiserade krävs att den kompletterande informationen förvaras åtskilt och skyddas genom tekniska och organisatoriska åtgärder som förhindrar en identifiering. Även andra uppgifter, till exempel om företag, fastighet eller andra uppgifter, kan också pseudonymiseras.
Pseudonymiseade uppgifter kan fortfarande vara personuppgifter
Observera att pseudonymiserade uppgifter fortfarande kan omfattas av dataskyddsförordningen. Så länge det finns en möjlig koppling mellan löpnummer och den ursprungliga identiteten betraktas uppgifterna som personuppgifter. Även om kopplingen tagits bort kan uppgifterna ändå betraktas som personuppgifter om det går att identifiera en person eller företag, exempelvis genom att kombinera informationen med annan information.
En dom från EU-domstolen har aktualiserat frågan om att pseudonymiserade uppgifter alltid är personuppgifter enligt dataskyddsförordningen. På Integritetsskyddsmyndighetens (IMY) webbplats hittar du mer information om rättsfallet.
EDPB anordnar intressentmöte om pseudonymisering (imy.se) Länk till annan webbplats.
I exemplet har uppgifter psedonymiserats genom att varje personnummer har ersatts med ett unikt löpnummer samt att namn har tagits bort.
Tabell med data före pseudonymisering:
Personnummer
Namn
Ålder
Födelseland
Yrke
19470101-1111
Ture Svensson
78
Sverige
Detektiv
19780430-2222
Lisbet Salinder
47
Sverige
Hacker
20051001-3333
Sune Svensson
20
Sverige
Studerande
Tabell med data efter pseudonymisering:
Personnummer
Namn
Ålder
Födelseland
Yrke
12345
78
Sverige
Detektiv
67890
47
Sverige
Hacker
23697
20
Sverige
Studerande
Använd integritetsbevarande metoder för ökat skydd
För att ytterligare minska risken för att personer eller företag kan identifieras, även efter pseudonymisering, kan du använda olika metoder för att förändra informationen. Exempel på sådana integritetsbevarande metoder är undertryckning och gruppering.
Indirekt identifierade uppgifter
Du bör vara uppmärksam på om informationen innehåller kvasi-identifierare, det vill säga uppgifter som inte ensamma kan avslöja identiteten på en person eller ett företag, men som i kombination med andra uppgifter kan göra en identifiering möjlig. Kvasi-identifierare kan exempelvis vara kön, postnummer, födelsedatum eller yrkestitel. Sådana uppgifter innebär en risk för identifiering och måste hanteras med samma omsorg som direkt identifierade uppgifter.
I exemplet har uppgifter pseudonymiserats och ålder har grupperats. När uppgiften om ålder är mindre detaljerad minskar risken för att en enskild person kan identifieras.
Beroende på syftet med informationen och populationens storlek kan födelseland redovisas enskilt men i exemplet är bedömningen att San Marino är ovanligt och att det därför finns risk för att en identifiering kan göras. Därför är uppgiften om födelseland grupperad till den grövre nivån "Europa, utom Sverige".
Tabell med data före pseudonymisering och gruppering:
Person-nummer
Namn
Ålder
Födelse-land
Yrke
19470101-1111
Ture Svensson
78
Sverige
Detektiv
19780430-2222
Lisbet Salinder
47
Sverige
Hacker
20051201-4444
Paolo Florentino
20
San Marino
Studerande
Tabell med data efter pseudonymisering och gruppering:
Person-nummer
Namn
Ålder
Födelse-land
Yrke
12345
70-
Sverige
Detektiv
67890
40-50
Sverige
Hacker
23652
20-30
Europa, utom Sverige
Studerande
Denna information är framtagen genom ett samarbete mellan Digg och Statistikmyndigheten SCB.
Läs mer
I följande vägledningar hittar du mer information om pseudonymisering.
- Guidelines 01/2025 on Pseudonymisation (edpb.europa.eu) Länk till annan webbplats.
- Vägledning "Pseudonymisering av personuppgifter" (pdf, esamverka.se) Länk till annan webbplats.
- Data Pseudonymisation: Advanced Techniques and Use Cases (enisa.europa.eu) Länk till annan webbplats.
- Pseudonymisation techniques and best practices (op.europa.eu) Länk till annan webbplats.
- Resurser - guider, handböcker, forskningsartiklar och videor (snd.se) Länk till annan webbplats.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: