Patienternas data var inte avidentifierade
I turerna kring regionens utlämnande av personuppgifter används uttryck som ”anonymisering” och ”pseudonymisering”. Men vad innebär egentligen orden?
Flera på Region Halland har hävdat att de uppgifter som lämnats ut är säkra, eftersom de ”anonymiserats”. Enligt uppgift har datan som skickats till Boston krypterats och pseudonymiserats, men inte avidentifierats. Det innebär att de fortfarande omfattas av Personuppgiftslagen.
Här följer en förklaring av de olika begreppen:
Kryptering: Text omvandlas till kryptotext, som är oläsbar för obehöriga. Kryptotexten skickas till mottagaren som dekrypterar den med kryptosystem och krypteringsnycklar. Uppgifter som är krypterade räknas fortfarande som personuppgifter, så länge krypteringsnyckeln existerar någonstans.
Anonymisering: Används ibland som synonym till avidentifiering, vilket är felaktigt. Med anonymiserade data är forskningspersonerna anonyma för den som behandlar uppgifterna, men möjligheten att koppla dem till enskilda individer kvarstår, vilket innebär att Personuppgiftslagen, PUL, gäller.
Pseudonymisering: Exempelvis namn och personnummer byts ut mot en kod (pseudonym). Det är möjligt att ta reda på vilken person en pseudonym står för om man har tillgång till en kodnyckel, men denna ska förvaras säkert och separat.
Avidentifiering: För att avidentifiera personuppgifter måste alla möjligheter till identifiering tas bort, så att datan inte längre går att koppla till en person. Detta innebär att kodnyckeln måste förstöras, även hos uppdragsgivaren. Data som är avidentifierade omfattas inte av PUL.