Sjekkliste for anonymisering - Ansatt

Sjekkliste for anonymisering

Sjekkliste for anonymisering

Ønsker du å bruke personopplysninger til et nytt formål eller for en lengre periode, og samtidig slippe å forholde deg til personvernregelverket og eventuelt be om tillatelse fra eksterne eller den registrerte, må opplysningene anonymiseres.
Publisert
Sist oppdatert

  • Tillatelse til å anonymisere personopplysninger

    Før du anonymiserer må du forsikre deg om at det er tillatt å beholde opplysningene anonymisert. Dersom du selv har lovet de registrerte  å slette opplysningene eller eier av opplysningene, f.eks. SSB krever sletting ved prosjektslutt/avsluttet behandling, kan ikke personopplysningene anonymiseres. De må slettes.

  • Vurderinger ved anonymisering

    Ved anonymisering må du ta stilling til hvilke opplysninger du må slette eller skrive om for at det ikke skal være mulig for noen å knytte opplysningene til en enkeltperson, hverken nå eller i fremtiden (du må blant annet ta hensyn til den tekniske utviklingen hvis behandlingen skjer elektronisk).

    Fingerregel: Opplysningene bør ikke kunne knyttes til en gruppe på 5 eller færre personer i et utvalg/enhet. Det bør i tillegg gjøres en konkret vurdering i hvert enkelt tilfelle.

    Se nettside om anonymiserte opplysninger kontra avidentifiserte opplysninger.

  • Spørsmål du bør stille deg for å vurdere om opplysningene er tilstrekkelig anonymiserte

    1. Hva er formålet med anonymiseringen? Formålet kan være innenfor publisering, forskning eller undervisning. Det har betydning for risikoen for reidentifisering. Risiko for reidentifisering er større ved publisering på nettet enn ved begrenset bruk (forskning og undervisning). Ved publisering på nettet bør det gjøres en risikovurdering (sikresiden.no) både før og etter publisering.
    2. Hvilke typer personopplysninger er det som skal anonymiseres?  Dersom det skjer en reidentifisering av en person, der særlige kategorier (sensitive personopplysninger) og/eller annen taushetsbelagt informasjon har blitt anonymisert, kan det få  store negative konsekvenser for de registrerte.
    3. Hvem og hvor mange skal ha tilgang til de anonymiserte opplysningene? Bør det foreligge tilgangsbegrensninger?
    4. Hvor stort er det anonymiserte datasettet? Det kan være vanskeligere å anonymisere mindre datasett (få registrerte).
    5. Inneholder datasettet opplysninger som eksterne kommersielle aktører eller fremmede makter vil være spesielt interessert i og derfor bør sikres ekstra? Opplysningene bør i så fall ikke lagres og analyseres hvor som helst.
    6. Har du slettet alle direkte personidentifiserende opplysninger som navn, personnummer og bilde?
    7. Har du slettet andre personidentifiserende opplysninger som telefonnummer, postadresse, epostadresse, IP-adresse, kodenøkkel eller referansenummer? Husk at slike opplysninger, kombinert med andre opplysninger, datasett eller registre, kan identifisere en person.
    8. Har du slettet eller omarbeidet indirekte identifiserende opplysninger (f.eks. ved å grovkategorisere variabler som alder, bosted, institusjon, skole e.l)? Husk at en person med en sjelden diagnose som få i landet har  eller en person med yrkestittel prest i en liten kommune med bare en prest kan være identifiserbar.
    9. Har du gjort opplysningene tilstrekkelig upresise, slik at de ikke lenger kan tilbakeføres til en enkelt person (randomisering)? Opplysningene blir da gjort unøyaktige, men overordnet fordeling beholdes. Dette er å anbefale der man behandler særlige kategorier (sensitive personopplysninger) og skadepotensialet for utvalget er stort.
    10. Har du slettet (eller redigert/sladdet) lydopptak, bilder og videoopptak? Husk at den fremtidige tekniske utviklingen kan tilbakeidentifisere tidligere stemmeforvrenging. Vises det i et videoopptak kun en kroppsdel er det normalt anonymt. Unntak er de tilfeller der kroppsdelen har en tatovering eller et annet særegent kjennetegn.

  • Relevante lenker