”Persondata fylder rigtigt meget hos langt de fleste virksomheder og myndigheder, og der lægges en del ressourcer i at beskytte data, så uvedkommende ikke kan få adgang til dem eller identificere en bestemt person ud fra disse,” siger Tim Krarup Nielsen, der er certificeret IT-advokat og partner hos DAHL Advokatpartnerselskab.
Det har længe været den generelle opfattelse, at det var næste umuligt at anonymisere persondata i praksis. Den opfattelse er nu udfordret med den ny EU-dom.
Dermed vurderer Tim Krarup Nielsen, at der formentlig er flere virksomheder, som reelt arbejder med anonymiseret data i flere situationer end de tror – og i de situationer ikke underlagt begrænsningerne i databeskyttelsesforordningen (GDPR).
Var data anonymiseret eller pseudonymiseret?
Sagen handler om en bank under rekonstruktion, hvor det som led i rekonstruktionen var muligt for blandt andet aktionærer og investorer at indsende bemærkninger til værdiansættelsen. Når kommentarerne blev afgivet, oplyste man sin identitet, og dermed blev kommentarerne til persondata.
Alle kommentarer blev samlet og struktureret af enheden, der administrerede rekonstruktionen. Der var dog behov for at udlevere kommentarerne til et eksternt revisionsfirma i forbindelse med verificering af værdiansættelsen af banken.
Før identitetsoplysningerne blev udleveret til revisionsfirmaet, blev identitetsoplysningerne udskiftet med en unik 33-tegns ID-nøgle. Revisionsfirmaet havde således ikke adgang til identitetsoplysningerne på personerne, der stod bag kommentarerne. Kun hver persons 33-tegns ID-nøgle var tilgængelig for revisionsfirmaet. Enheden, der administrerede rekonstruktionen, havde stadig identitetsoplysningerne, og kunne dermed som den eneste koble hver 33-tegns ID-nøgle med identitetsoplysningerne på personerne bag.
Spørgsmålet var derfor: Var revisionsfirmaets datasæt anonymiseret eller kun pseudonymiseret?
EU vurderer at data var anonymiseret
EU-dommen konkluderede, at revisionsfirmaets datasæt var anonymiseret og lagde især vægt på to ting i sin vurdering.
For revisionsfirmaet var det ikke muligt (1) lovligt og (2) med rimelige midler at få adgang til oplysningerne, der kunne kæde hver 33-tegns ID-nøgle sammen med identitetsoplysningerne på bankens aktionærer og investorer. Og revisionsfirmaet havde ikke ret til at få nøglen udleveret.
Data kan altså godt være anonymiseret for én part (revisionsfirmaet), uanset at det ikke optræder anonymiseret for andre (enheden der havde adgang til ID-nøglen). Perspektivet er med andre ord afgørende.
Giver dommen nye muligheder for deling af data?
Den nye afgørelse vil gøre langt flere datasæt anonymiserede, og give helt nye muligheder i visse sektorer, som f.eks. inden for forskning, da mange datasæt, der i dag anses for pseudonymiserede, reelt vil være anonymiserede.
Datasæt udveksles i dag ofte uden direkte identitetsoplysninger som navn og adresse. I stedet er de erstattet af et unikt ID, f.eks. via et kundenummer, patientnummer eller anden ID-nøgle. Hvis modtageren ikke har adgang til denne ID-nøgle – og ikke vil kunne skaffe sig adgang til den, eller med rimelighed selv gætte den – må datasættet anses for anonymiseret for modtageren.
Det åbner for nogle praktiske muligheder.
Anonyme datasæt kan udveksles med modtagere udenfor EU/EØS, kan videregives uden indgåelse af særlige persondataaftaler og frit anvendes til ethvert formål af modtageren.
”Man kan ikke lade være med at tænke på, hvad det betyder for andre former for oplysninger. Blandt andet IP-adresser. Er de virkelig personoplysninger for almindelige virksomheder, som ikke på lovlig vis kan få udleveret de bagvedliggende oplysninger hos en teleudbyder? Og hvad med cookies og Google Analytics? Eller sikkerhedsbrud? For er det reelt et sikkerhedsbrud, hvis en hacker kun får pseudonymiseret data?”, spørger Tim Krarup Nielsen.
Dommen åbner dog ikke alle datadøre
Selvom betydningen af EU-dommen formentlig bliver større end forventet, gør EU-dommen ikke alle personoplysninger anonyme. Det er stadig den enkelte dataansvarliges konkrete situation, der er afgørende.
Det skal også stadig være reelt umuligt lovligt og med rimelige midler at skaffe ID-nøglen. Dvs. det skal ikke bare være lidt besværligt; det skal være næsten umuligt.
Derudover må det fortsat ikke være muligt at udlede identiteten af konteksten, f.eks. fordi datasættet i øvrigt indeholder tilstrækkeligt med oplysninger til at finde frem til identiteten på personerne bag oplysningerne.
”EU-dommen ændrer ikke på, at krypterede persondata generelt anses for persondata, især hvis det er muligt at dekryptere datasættet for modtageren. Og de fleste almindelige krypteringsteknologier kan i dag brydes med tilstrækkelig computerkraft,” slutter Tim Krarup Nielsen.
Hvis du vil vide mere
Har du spørgsmål til dommens betydning eller til persondata generelt, er du altid velkommen til at kontakte DAHL Advokatpartnerselskab, som IT-Branchen har et samarbejde med.
Du kan læse hele dommen her. Dommen er afsagt af EU-Retten men kan ankes.