Anonymisering er en vigtig metode for at kunne indsamle og benytte værdifulde oplysninger ved dataanalyse, samtidig med at risikoen for misbrug reduceres for berørte personer. Er oplysningerne anonymiserede falder de nemlig uden for databeskyttelsesdirektivets anvendelsesområde, da de ikke længere regnes som personoplysninger. Virksomheder bruger i høj grad indsamlede personoplysninger i kommercielt øjemed, men mange danske virksomheder har imidlertid ikke styr på effektiv anonymisering, da anonymiseringsprocessen ofte er ganske udfordrende.
HVAD GÅR DET UD PÅ?
For fuldt ud at kunne benytte visse personlige data, er det nødvendigt at disse anonymiseres. Det er vigtigt at foretage grundige risikovurderinger før publicering af anonyme data og benytte solide anonymiseringsteknikker på grund af risikoen for at individer bliver identificeret. Det er således et krav, at anonymiseringen er effektiv, så det sikres, at en person ikke kan identificeres, når alle hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere personen, tages i betragtning.
Der kan imidlertid være mange årsager til, at en virksomhed ønsker at anonymisere persondata: Eksempelvis fordi virksomheden er pålagt at publicere anonymiserede data, virksomheden må videregive information til en tredjepart og ønsker at beskytte identiteten på de berørte eller virksomheden ønsker at frigive data for at være åben og transparent om egen virksomhed mv.
Persondataloven finder ikke anvendelse på private virksomheders behandling af anonyme eller anonymiserede oplysninger, og en korrekt identificering af hvor grænsen går kan dermed være af stor betydning. Ifølge Artikel 29-gruppen, som er et uafhængigt organ bestående af repræsentanter for bl.a. tilsynsmyndigheder i EU, vurderes anonymiseringens robusthed på grundlag af tre kriterier:
- Er det stadig muligt at udskille en bestemt person?
- Er det stadig muligt at sammenkoble poster vedrørende en person?
- Kan der udledes oplysninger om en person?
GUIDELINES FRA NORGE
Det er Kromann Reumerts erfaring, at mange private virksomheder er i tvivl om, hvad effektiv anonymisering indebærer. Eftersom der ingen officiel vejledning er i Danmark, kan der til inspiration kigges mod Norge, hvor det norske Datatilsyn for nylig er kommet med en vejledning for både private og offentlige virksomheders anonymisering af data. Vejledningen, der bygger på fælleseuropæiske vurderinger fra Artikel 29-gruppen, indeholder blandt andet flere teknikker til, hvordan virksomheder effektivt kan anonymisere deres data. Disse omfatter eksempelvis hvilke forhold, virksomheden skal vurdere forinden anonymiseringen, hvordan man skal foretage risikovurderingen samt udvikling af en "reidentificeringstest".
Det altovervejende råd fra det norske datatilsyn er dog, at anonymiseringsteknikken må bestemmes fra sag til sag, således at de tre kriterier for anonymiseringens robusthed opfyldes så vidt som muligt.
FORDELE VED VEJLEDNINGEN
Et tilstrækkelig robust og sikkert anonymiseret datasæt er at foretrække, så virksomheden kan benytte informationen uden at risikere at komme på kant med persondataloven.
Anonymisering kan derfor være løsningen i de tilfælde, hvor der kan herske tvivl om loven tillader en bestemt behandling af personoplysninger. Herudover kommer tilfælde, hvor behandlingen af personoplysninger er udelukket, fordi lovens krav sætter en stopper for den.
Kromann Reumert har bistået adskillige virksomheder med rådgivning vedrørende den bagvedliggende proces og står derfor til rådighed, hvis du har spørgsmål herom eller skal bruge vores bistand.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
-medium.jpg)
-medium.jpg)
-medium.jpg)
