Enligt GDPR finns det tre typer av uppgifter. Den första är personuppgifter, det är information som direkt kan kopplas till en person som går att identifiera. Det kan vara själva kundtabellen i ert affärssystem. I denna tabell finns uppgifter om namn, adress, telefonnummer och annat som kan identifiera individen men kanske även information som sig inte är identifierande men som blir personuppgift då det går att knyta direkt till individen. Det kan vara uppgift om land, nationalitet, när individen blev kund.
Den andra typen är det man kallar pseudonymiserats uppgifter. Det är information som inte kan kopplas ihop till en identifierbar direkt utan man måste använda en annan källa. Exempel på detta kan vara en ordertabell i affärssystemet. Själva ordern kanske bara innehåller information om datum för ordern, om den är betald och uppgift om vad som levererats. Utöver detta kan det finnas det man kallar en teknisk nyckel, som kopplar informationen till kunden i kundtabellen men som inte kan identifiera kunden i sig själv. Hela tabellens information är då att betrakta som pseudonymiserade. Om själva kundtabellen skulle tas bort så skulle denna information troligen kunna betraktas som helt anonym. Det är viktigt för själva hanteringen att förstå att pseudonymiserade uppgifter är personuppgifter och ska hanterar därefter.
Den sista typen är anonymiserad. Den innebär att informationen på inget sätt kan kopplas till en individ, varken i sig själv eller genom att använda andra källor. Denna typ av information omfattas inte av GDPR och kan därför lagras i oändlig tid. För att något ska klassas som anonymiserat krävs dels att anonymiseringen är oåterkallig, dels att den har gjorts på ett sätt att det är omöjligt eller extremt opraktiskt att identifiera den fysiska personen.
Vad krävs för att uppfylla Anonymiseringskravet
Viss information om en individ är direkt identifierande. Ta ett personnummer, det är ett officiellt nummer som direkt pekar ut en enskild individ. Information som e-postadress och telefonnummer är i princip även de direkt identifierande.
Annan information kan inte peka ut en individ i sig själv. Exempel på det är förnamn och efternamn. Var för sig är de normalt inte identifierande om de inte är synnerligen ovanliga, men tillsammans ger de en rätt stor möjlighet att identifiera.
Samma sak gäller information som födelsedatum eller födelseår. I sig inte identifierande, men tillsammans med en adress så kan det vara relativt enkelt att peka ut fastighetens enda 82-åring.
För att anonymiseringen ska anses vara genomförd korrekt så ska den i princip vara gjorda så att det helt omöjligt att identifiera individen. Det innebär att ingen information ensamt eller i kombination ska kunna identifiera individen.
Genom att tillämpa olika anonymiseringsregler på olika information om individen kan man hitta en avvägning mellan rimlig identifikation och att samtidigt behålla information som kan vara av vikt vid analyser och statistik.
Nedanstående är inget facit, men skulle kunna fungera som utgångspunkt för er egen bedömning. Läs gärna mer om detta i artikel 29 av GDPR förordningen (https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf)
