Secify.com

Pseudonymisering vs anonymisering – vad är skillnaden?

12 juli, 2023
Uppdaterad: 13 februari, 2026
Uppskattad lästid: 4 min

Introduktion

Pseudonymisering – spårbarhet finns kvar

Många blandar ihop pseudonymisering och anonymisering, men ur ett juridiskt perspektiv är skillnaden avgörande. Pseudonymiserade uppgifter räknas fortfarande som personuppgifter, till skillnad från anonymiserad data, som inte omfattas av GDPR.

Pseudonymisering lyfts fram i GDPR som en rekommenderad säkerhetsåtgärd. Metoden innebär att direkt identifierande uppgifter (som namn eller personnummer) ersätts med en kod eller en pseudonym.

  • Kännetecken:
    För att identifiera individen krävs en separat förvarad kodnyckel.
  • Juridisk status:
    Eftersom det är tekniskt möjligt att koppla informationen till en person omfattas pseudonymiserade uppgifter av GDPR (se Artikel 4.5).
  • Användningsområde:
    Lämpligt vid IT-revisioner eller analys där man vill minimera exponeringen av känsliga data utan att förlora möjligheten till datakoppling.
Två personer står bredvid varandra och samtalar

H2 Anonymisering – oåterkallelig process

Anonymisering innebär att all information som kan kopplas till en individ raderas eller maskeras så att identifiering blir omöjlig – även för den som utfört processen.

  • Kännetecken:
    Ingen kompletterande data eller kodnyckel kan återställa kopplingen till individen.
  • Juridisk status:
    När datan är korrekt anonymiserad betraktas den inte längre som personuppgifter. Enligt Europeiska dataskyddsstyrelsen (EDPB) upphör GDPR att gälla för dessa uppgifter.
  • Viktigt att veta:
    Själva processen att anonymisera data räknas som en personuppgiftsbehandling och måste ha en rättslig grund innan den är slutförd.

När blir data anonym?

Gränsdragningen är inte alltid glasklar. En vanlig fråga är om data kan vara anonym för en mottagare, trots att avsändaren sitter på kodnyckeln.

I april 2023 kom ett viktigt förtydligande från EU-domstolen i mål T-557/20 (SRB mot EDPS). Domstolen slog fast att bedömningen ska göras utifrån mottagarens perspektiv:

  1. Mottagarens medel:
    Har mottagaren lagliga och praktiska medel att identifiera personerna?
  2. Rimliga ansträngningar:
    Om identifiering kräver ”orimliga resurser” eller är ”praktiskt sett omöjligt” för mottagaren, kan uppgifterna anses vara anonyma hos denne – även om de är pseudonymiserade hos avsändaren.

Slutsats

Skillnaden mellan pseudonymisering och anonymisering ligger i huruvida uppgifterna går att återidentifiera eller inte. Så länge det är möjligt att kombinera uppgifterna med någon annan information och på så sätt identifiera en enskild person, är uppgifterna personuppgifter och omfattas av dataskyddsreglerna.

Begreppen pseudonymisering och anonymisering blandas ofta ihop, vilket kan vara problematiskt eftersom dataskyddsreglerna fortfarande gäller för pseudonymiserade uppgifter. Så länge det finns kompletterande information som möjliggör identifiering måste dataskyddsreglerna beaktas.

Bedömningen av om en uppgift är anonymiserad eller inte måste göras i det enskilda fallet, eftersom det till viss del kan bero på vilken information den personuppgiftsansvarige har tillgång till.

I slutet av april 2023 avgjorde EU-domstolen mål T-557/20. I målet prövades huruvida uppgifter kunde anses vara anonyma hos mottagaren av ett dataset, trots att avsändaren hade tillgång till kompletterande uppgifter som möjliggjorde identifiering. Teoretiskt skulle det vara möjligt för mottagaren att åter identifiera uppgifterna, men frågan var om det var praktiskt möjligt?

EU-domstolen förtydligade i målet att bedömningen måste göras utifrån mottagarens perspektiv, om denne har medel som gör det möjligt att identifiera en individ. I avgörandet förtydligar Domstolen att bedömningen huruvida personuppgifter går att åter identifiera inte enbart kan göras utifrån vilka uppgifter mottagaren har tillgång till, utan även om det är lagligt och praktiskt möjligt för mottagaren att kombinera uppgifterna så att uppgifterna blir identifierbara. Domstolen prövade huruvida det är ”praktiskt sett omöjligt” för mottagaren att identifiera personer, genom att bedöma om det skulle krävas orimliga resurser för identifieringen. Domstolen kom fram till att risken för identifiering var så liten att den saknade betydelse, och uppgifterna bedömdes därför vara anonyma hos mottagaren. Hos avsändaren var de dock endast pseudonymiserade.

2026-02-13T09:51:18+01:00
Cecilia Nilsson

Skrivet av: Cecilia Nilsson

Cecilia jobbar som dataskyddsjurist på Secify. Hon har tidigare arbetat som myndighetsjurist och dataskyddsombud i statlig sektor.

Cecilia Nilssons senaste inlägg

NYHETSBREV

Konsulttjänster

Säkerhetstester

Managerade tjänster

Intelligens

Secify

Secify logo vit

Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

Jönköping (huvudkontor)
Östra Storgatan 28c, 553 21 Jönköping

Stockholm
Warfvinges väg 45, 112 51 Stockholm

Halmstad
Tre Hjärtans väg 2, 302 41 Halmstad

Växjö
Storgatan 82A, 352 27, Växjö

Cirklar secifyprofil dekoration
Cookiepolicy

Orgnr: 559316-2513
Tel: 020-66 99 00 | Kontakt

Till toppen