Anonyymien tulosten tuottaminen

Tältä sivulta löydät ohjeet anonyymien tulosten tuottamiseen. Henkilötietoaineistoa käsittelevän tulee tuottaa analyysitulokset anonyymissa muodossa, josta yksittäisen henkilön tietoja tai ominaisuuksia ei paljastu. Varmistamme toisiolain mukaisesti tulosten anonymiteetin. Tämä koskee kaikkia aineistoja, joihin on myönnetty lupa toisiolain perusteella. Emme peri anonymiteetin varmistuksesta maksua.

Lisäksi tällä sivulla esitellään yleisimpiä analyysityyppejä, joita tutkimusten tuloksissa on yleensä mukana. Lista ei ole kattava. On hyvä huomata, että paljastumisriskiin vaikuttaa muuttujien sisältö. Jossain tapauksissa paljastumisen riski on ilmeinen, mutta on paljon muuttujia, joiden yksittäisen tarkan arvonkaan kautta henkilöä ei ole mahdollista päätellä.

Tulokset tulee tarkastaa ja varmistaa, että ne noudattavat tätä ohjeistusta eri tulostyyppien osalta. Joidenkin tulostyyppien osalta voidaan anonymiteetti todeta helposti, kun taas toisten osalta siihen vaaditaan tarkempaa tarkastelua. Vaikka pelkän ohjeistuksen noudattaminen ei varmista tulosten anonymiteettiä, näitä ohjeita seuraamalla päästään mahdollisimman lähelle tavoitetta.

Tulosten anonymiteetin varmistaminen koostuu näiden ohjeiden lisäksi tulosten mukana toimitettavasta yhteenvetolomakkeesta sekä Findatan suorittamista tulosten tarkastuksista. Älä lähetä tuloksia anonymiteetin varmistamiseen, ennen kuin olet varma, että tulokset on tuotettu anonyymissa muodossa.

Täytä lomake huolellisesti. Anonymiteetin varmistaminen perustuu vahvasti yhteenvetolomakkeessa antamiisi tietoihin. Neuvomme tarvittaessa anonyymien tulosten tuottamisessa. Tuota tulokset sellaisessa muodossa, että anonymiteetin varmistaminen on mahdollista. Katso alta vinkit tulosten anonymiteetin varmistuksen nopeuttamiseen.

Miten tulosten anonymiteetin varmistamista voi nopeuttaa

  1. Lue tämän sivun ohjeet huolellisesti läpi. Varmista, että tuottamasi tulokset noudattavat ohjeita.
  2. Täytä yhteenvetolomake huolellisesti. Täytä lomakkeen kaikki sivut ja laita raksi kaikkiin tarvittaviin kohtiin Yhteenveto-sivulla
    • Jos tuottamasi tulokset eivät ole kaikkien väittämien mukaisia, perustele, miksi tulosten voidaan silti katsoa olevan anonyymejä.
    • Jos tulokset toimitetaan siirtopalvelu Nextcloudin välityksellä, varmista, että Nextcloud-tunnus on mainittu lomakkeessa. Lisäohjeet salauksesta ja aineiston toimittamisesta Nextcloudilla löydät sivulta Aineistojen toimittaminen Findatalle.
  3. Tuota tulokset muodossa, joka mahdollistaa anonymiteetin varmistuksen. Varmista, että kaikki muuttujat on kuvattu nimillä, jotka tutkimuksen ulkopuolinen henkilö voi ymmärtää.
    • Huolehdi, että tulostyyppi tulee selkeästi esille (eli onko kyseessä esim. frekvenssi, regressiokerroin tai joku muu testisuure).
  4. Pyydä tuloksia ulos käyttöympäristöstä järkevän kokoisessa paketissa.
    • Yksittäisiä tulospaketteja ei kannata toimittaa usein (esim. joka päivä). Tulospakettien käsittely useana eri toimituksena vie enemmän aikaa tietojen siirron ja kommunikoinnin osalta.
    • Suosittelemme toimittamaan tulokset enintään 50 tiedoston paketeissa. Todella laajan, satoja tiedostoja sisältävän tulospaketin käsittely on työlästä, erityisesti, jos tulosten anonymiteetin osalta on epäselvyyksiä tai huomautettavaa.
  5. Jos pyydät käyttöympäristöstä ulos muita tietoja kuin tuloksia, varmista, että nämä tiedostot eivät sisällä tuloksia. Kuvaa siirrettävät tiedot selkeästi yhteenvetolomakkeeseen.
    • Varmista, että kooditiedostot eivät sisällä tuloksia tai dataa (esim. pseudokoodeja).

Mitä anonymisointi tarkoittaa?

Anonymisointi tarkoittaa prosessia, jossa aineisto käsitellään niin, että

  • yksittäistä henkilöä ei voida suoraan tai välillisesti tunnistaa
  • ei voida tehdä vain yksittäistä henkilöä koskevia päätelmiä
  • yksittäistä henkilöä koskevia tietoja ei voida yhdistellä muuhun aineistoon.

Anonyymi aineisto tulee olla mahdotonta tai kohtuuttoman vaikeaa palauttaa muotoon, jossa yksittäinen henkilö on tunnistettavissa. Toisiolain mukaan tulosten tulee olla anonyymejä.

Mikäli tutkimuksessa on tarve julkaista tuloksia, joita ei ole mahdollista anonymisoida, tulee tämä ottaa huomioon jo tutkimusta suunniteltaessa ja käyttää muita perusteita tutkimuksen toteuttamiseen, kuten tutkittavien suostumusta.

On tärkeä huomata, että vaikka yksittäinen tulos itsessään on anonyymi, on useita tuloksia yhdistelemällä joskus mahdollisuus tietojen paljastumiselle. Tyypillinen esimerkki tästä on useampien frekvenssitaulukoiden tuottaminen samoilla muuttujan luokituksilla. Näistä on yleensä mahdollista yhdistää tarkempaa tietoa sisältävä frekvenssitaulukko, jossa tietoa on määritelty useamman muuttujan suhteen.

Tulosten yhdisteleminen tulee ottaa huomioon sekä työn alla olevan analyysin että aiempien analyysien osalta. Jos käyttäjällä on tiedossa aiempia julkaisuja, joiden analyyseissä on käytetty samaa tai liki samaa aineistoa tai sen osajoukkoa, käyttäjän tulee toimittaa vähintään linkit sellaisiin julkaisuihin.

Anonymiteetin varmistamiseksi lähdetään siitä, että tuloksissa esiintyvä minimifrekvenssi on viisi. Tätä kriteeriä käytetään tietosuojan varmistamiseksi. Perustellusta syystä ja tapauskohtaista harkintaa käyttäen voidaan poiketa minimifrekvenssin 5 vaatimuksesta ja käyttää minimifrekvenssiä 3, jos kyseessä on esimerkiksi erittäin pieni kohdejoukko, harvinaissairaustutkimus tai tutkitaan muuten harvinaista ilmiötä. Tämän tiedon tulee olla tutkimuksen kannalta merkittävä löydös, joka on välttämätöntä raportoida tällä tarkkuudella ja anonymiteetin kriteerien tulee täyttyä (eli käytetyt muuttujat eivät yksilöi henkilöä niin, että tunnistaminen on mahdollista).

Findatalla on oltava näkyvillä riittävät taustatiedot kuhunkin analyysityyppiin anonymiteetin varmistamiseksi. Ilmoita nämä tiedot tulosten mukana toimitettavalla yhteenvetolomakkeella. Käytämme anonymiteetin varmistuksen prosessin pohjana alla olevassa taulukossa kuvattuja periaatteita.

Tulostyyppien paljastumisriskin mukainen luokittelu

TietotyyppiTuloksen tyyppiYleistävä luokittelu
Kuvailevat tunnusluvut
FrekvenssitaulukkoTarkastettava
MäärätaulukkoTarkastettava
Maksimi, minimi, persentiilit, mediaaniTarkastettava
MoodiYleensä turvallinen
Keskiarvo, indeksit, suhdeluvut, indikaattoritTarkastettava
Keskittymisaste  Yleensä turvallinen
Korkeamman momentin tunnusluvut (kuten varianssi, kovarianssi, huipukkuus, vinous)Yleensä turvallinen
Kuviot: alkuperäisen aineiston kuvallinen esittäminenTarkastettava
Korrelaatiot ja regressiotyyppiset analyysit
Lineaarisen regression kertoimetYleensä turvallinen
Epälineaarisen regression kertoimet  Yleensä turvallinen
Estimoinnin residuaalitTarkastettava
Estimaattien yhteenveto- ja testisuureet (R2, χ2 etc.) Yleensä turvallinen
KorrelaatiokertoimetYleensä turvallinen
FaktorianalyysiYleensä turvallinen
KorrespondenssianalyysiYleensä turvallinen

Kuvailevat tunnusluvut ja analyysit

Alla olevassa tekstissä joukko tai kohdejoukko tarkoittaa niitä havaintoja, joista tunnuslukuja lasketaan.

Minimi, maksimi ja vaihteluväli

Yleensä minimi ja maksimi kohdistuvat helpoimmin tunnistettavaan yhteen yksikköön, joten lähtökohtaisesti sisältävät paljastumisriskin. Nämä voidaan julkaista, mikäli tunnusluvun arvo perustuu useampaan yksikköön. Tulosten anonymiteettiä voi parantaa jakamalla tiedot luokkiin, jolloin jokaiseen luokkaan tulee useampia yksilöitä. Minimin ja maksimin rinnalla voi harkita sopivien kvantiilien käyttöä.

Fraktiilit – kvantiilit, desiilit, persentiilit, mediaani

Julkaistavissa mikäli luvun taustalla oleva frekvenssi on riittävän suuri.

Keskiarvo, keskihajonta

Voi harvoissa tapauksissa sisältää paljastumisriskin. Tarkastettava, että tulos kuvaa riittävän isoa joukkoa ja koko kohdejoukko ei saa samaa arvoa. Tarkastettava, ettei raportoida tunnuslukuja useammasta lähes identtisestä joukosta tai osajoukosta.

Moodi eli tyyppiarvo

Lähtökohtaisesti julkaistavissa, mutta tarkastettava ryhmän paljastuminen eli ettei kuvaa koko kohdejoukon arvoa.

Korkeamman momentin tunnusluvut kuten varianssi

Lähtökohtaisesti julkaistavissa, koska tunnusluku on selvästi muunnettu alkuperäisistä yksilön arvoista. Varmistettava, ettei julkaista pienestä joukosta liian montaa tunnuslukua, joiden avulla koko joukko voisi paljastua.

Korrelaatiokertoimet

Lähtökohtaisesti julkaistavissa, kun tarkasteltavassa joukossa on riittävän monta havaintoa.

Keskittymisasteet

Lähtökohtaisesti julkaistavissa, kun tarkasteltavassa joukossa on riittävän monta havaintoa.

Lineaarinen regressio, epälineaarinen regressio

Lähtökohtaisesti julkaistavissa.

Testisuureet

Lähtökohtaisesti julkaistavissa.

Faktorianalyysi

Lähtökohtaisesti julkaistavissa, mutta on varmistettava, ettei faktorien taustalla ole vain yksittäinen muuttuja.

Pääkomponenttianalyysi

Pääkomponenttivektorit ja niitä vastaavat ominaisarvot lähtökohtaisesti julkaistavissa. Havaintojen projektiot pääkomponenteille tarkastettava (vastaa sirontakuviota, ks. alla).

Indeksit, suhdeluvut, indikaattorit

Indeksit ovat lähtökohtaisesti julkaistavissa, mutta käytetty laskukaava tulee ottaa huomioon. Monimutkaisemman laskukaavan indeksit (esim. Fisher Price) eivät yleensä aiheuta paljastumisriskiä, mutta hyvin yksinkertaisissa laskukaavoissa riski on mahdollinen ja lukujen taustalla tulee olla riittävästi havaintoja. 

Gini-kertoimet

Gini-kerroin tulee olla laskettu riittävän suurelle määrälle havaintoja. Tarkastamisessa tarvitaan seuraavat tiedot: laskukaava ja mahdollisesti frekvenssit lukujen taustalla.

Kuviot

Lähtökohtaisesti kuvan tietosuojan arvioinnissa aggregoitu taulukkomuotoinen esitys on helpommin hahmotettavissa kuin itse kuva, koska kuvasta on yleensä mahdotonta nähdä jokaisen pisteen tai käyrän taustalla olevien havaintojen frekvenssit. Tämän takia kuvan mukana tulee toimittaa tuloksen takana oleva taulukko, jos kuvassa kuvataan yksittäisiä havaintoja tai pientä kohdejoukkoa.

Histogrammi

Histogrammeissa tulee kiinnittää huomio siihen, että aineisto on luokiteltu niin, ettei yksittäiseen luokkaan tule liian vähän havaintoja. Tämä tuottaa haasteen erityisesti esimerkiksi normaalijakauman häntiin. Ohje on verrannollinen aineistoa kuvailevien tunnuslukujen tapaukseen ja välttämättä koko häntää ei siis voida kuvata.

Hajontakuviot tai sirontakuvio

Hajontakuvioissa on lähtökohtaisesti yhden pisteen taustalla yksi yksikkö ja siksi nämä eivät ole julkaistavissa ilman kuvaajan tuottamiseen käytetyn aineiston ryhmittelyä siten, että yhden pisteen taustalla on useampia havaintoja. Julkaistavissa ainoastaan, jos kuvion perustana oleva data olisi julkaistavissa taulukkona. Arvioinnissa tulee kuitenkin ottaa myös huomioon, mahdollistaako käytettyjen muuttujien yhdistelmä yksilön tunnistamisen. Hajontakuvion anonymiteettiä voi parantaa korvaamalla se kuvaajalla, jossa esitetään havaintojen frekvenssiä ruudukon soluissa, tai lisäämällä pisteisiin satunnaisuutta.

Viiksilaatikko, laatikkojanakuvio (Box plots)

Lähtökohtaisesti paljastumisriski, koska sisältävät yksittäiseen havaintoon kohdistuvia kuvapisteitä ja erityisesti poikkeavat havainnot voivat johtaa paljastumiseen. Myös keskiarvo voi aiheuttaa paljastumisriskin. Ohje verrannollinen aineistoa kuvailevien tunnuslukujen tapaukseen ja erityisesti poikkeavat havainnot aiheuttavat paljastumisriskiä.

Residuaalit

Residuaalit viittaavat yhteen havaintoon. Residuaalien kuvaamisessa tulisi käyttää kuvaajan muotoa yksittäisiin pisteisiin perustuvan kuvaajan sijasta. Jos käytetään yksittäisiin pisteisiin perustuvaa kuvaajaa, tulisi akseleiden arvojen kertomista välttää.

Elinaika-analyysi, Kaplan-Meier -käyrä

Voi sisältää paljastumisriskin riippuen analyysin määrityksestä. Jos jokainen käyrän askel vastaa riittävän montaa havaintoa, niin voidaan julkaista. Jos on selvää, ettei käyrän taustalla olevien tietojen avulla voida päätellä täsmällisiä ikiä tai kalenteriajan hetkiä, voidaan yksittäisiäkin askeleita sallia. Yksittäisiä askeleita julkaistaessa on kuitenkin pohdittava kuinka hyvin kuvaajan taustatiedot yksilöivät henkilöitä.

Spatiaalinen analyysi

Erityisen haastava tietosuojan kannalta, koska sijaintitieto on yleensä keskeinen tieto paljastumisessa. Vaatii yleensä paljon uudelleen luokittelua ja mieluummin tiedon esittämistä lämpökarttoina havaintopisteiden sijaan.

Muita tulostyyppejä

Valokuvat ja muut kuvantamisen materiaalit

Kuvantamisen materiaalien osalta tarkastetaan tilanne tapauskohtaisesti. Kuvantamisen materiaalien osalta kaikkia erilaisia materiaaleja koskevia yleisiä ohjeita on hyvin vaikea määrittää. Luonnollisesti materiaaleissa ei saa olla tekstimuotoisia suoria tunnisteita ja karkeampi kuva yleensä vaikeuttaa tunnistamista. Kuvantamisen materiaaleja käsittelevät henkilöt ovat yleensä parhaita arvioimaan kuvamateriaalin paljastumisriskiä. Esimerkiksi yksittäinen hammas ei yleensä yksilöi henkilöä, mutta koko hammaskartta luonnollisesti yksilöi.

Perinnöllinen geneettinen tieto

Perinnöllisen geneettisen tiedon osalta riittävän pientä määrää variantteja koskevat riittävän suuresta joukosta lasketut tunnusluvut voivat olla anonyymejä. Nämä on kuitenkin tarkastettava tapauskohtaisesti.

Koneoppiminen

Neuroverkkojen ja muiden koneoppimismallien (päätöspuut yms.) osalta on harvoin kyse materiaalin varsinaisesta julkaisemisesta. Kuitenkin tällaisia tuloksia halutaan tuoda tietoturvallisen Kapseli-käyttöympäristön ulkopuolelle ja näiden tarkastaminen tehdään tapauskohtaisesti. Ota yhteyttä Findataan tarkempia ohjeita varten.

Yksilötasoinen aineisto

Yksilötasoisen aineiston anonymiteetti tulee aina varmistaa tapauskohtaisesti. Ota yhteyttä Findataan tarkempia ohjeita varten.

Lähteet

Tulosten julkaiseminen

Julkaisemisella tarkoitetaan tässä yhteydessä tiedon tuomista julkisuuteen ja sen levittämistä ympäröivään yhteiskuntaan. Julkaisemiseksi katsotaan tulosten esitteleminen oman työryhmän ulkopuolelle.

Julkaiseminen voi tapahtua tieteellisessä tai muussa lehdessä, opinnäytetyössä, oppi- tai käsikirjassa, konferenssi tms. esityksessä tai abstraktissa, raportissa, selvityksessä tai jossain muodossa internetissä.

Tulosten julkaiseminen Kapselista

Aineistojen käsittely tapahtuu Kapseli-käyttöympäristössä ja vain valmiit analyysitulokset tuodaan järjestelmän ulkopuolelle. Käyttäjä tuottaa tulokset anonyymissa muodossa ja Findata varmistaa toisiolain mukaisesti tulosten anonymiteetin.

  1. Tarkista julkaistavaksi tarkoitettujen tulosten anonymiteetti ohjeen avulla. Ohje löytyy sivulta Anonyymien tulosten tuottaminen
  2. Siirrä tulokset ja yhteenvetolomake Findatalle Kapseli-käyttöympäristön Output-aseman kautta.
    • Täytä ja liitä mukaan yhteenvetolomake tulosten anonymiteetin varmistukseen. Yhteenvetolomake löytyy Kapselin D-asemalta kansiosta Käyttöohjeet_User_guide_05062023.
    • Pakkaa tulokset ja yhteenvetolomake zip-kansioon ja nimeä se seuraavasti: Tulokset_tietoluvan_diaari_käyttöympäristön_tunniste_siirtopäivämäärä (anna päivämäärä muodossa ppkkvvvv, esim. Tulokset_THL_1234_14.02.00_2020_a01_15032022).
    • Luo Output-asemalle tyhjä tekstitiedosto, jonka nimi on ZZZ_READY.txt. Näin zip-kansio siirtyy automaattisesti Findatalle. Jotta siirto onnistuu, tarkista huolellisesti, että ZZZ_READY-tiedosto on nimetty oikein. Siirrot tapahtuvat tasatunnein ja 30 minuutin välein. Siirron jälkeen tiedostot poistuvat automaattisesti Output-asemalta.
    • Voit halutessasi lähettää tiedon siirrosta Findatalle (data@findata.fi). Olemme yhteydessä, jos siirto ei ole tullut perille. Onnistuneesta siirrosta ei tule kuittausta.
  3. Findata tarkastaa pyynnöt viiden arkipäivän sisällä ja toimittaa tulokset siirtopalvelu Nextcloudin välityksellä käyttäjälle. Käyttäjään ollaan yhteydessä, jos tarvitaan lisätietoja.
    • Jos sinulla ei ole siirtopalvelu Nextcloudin tunnuksia, siirry Findatan asiointipalveluun osoitteessa asiointi.findata.fi ja täytä siellä oleva lomake ”Uuden Nextcloud-tunnuksen tilaus”.
    • Jos tulostiedostot ovat erittäin laajoja, varmistamisessa voi mennä kauemmin kuin viisi arkipäivää. Katso vinkit tulosten anonymiteetin varmistuksen nopeuttamiseen sivun alusta.
    • Nämä aikarajat koskevat ainoastaan tulosten anonymiteetin varmistusta, eivät muiden tiedostojen tuontia ulos Kapselista (esim. kooditiedostot).

Tulosten julkaiseminen muista tietoturvallisista käyttöympäristöistä

Jos käsittelet aineistoja muussa tietoturvallisessa käyttöympäristössä kuin Findatan Kapselissa ja olet valmis julkaisemaan tuloksia, toimi alla olevien ohjeiden mukaisesti.

  • Lataa yhteenvetolomake ja täytä pyydetyt tiedot: Yhteenvetolomake – tulosten anonymiteetin varmistus (lataa Word-dokumentti, 38 kt)
  • Pakkaa tulokset ja yhteenvetolomake zip-kansioon ja nimeä se seuraavasti:
    • Tulokset_tietoluvan_diaari_käyttöympäristön_tunniste_siirtopäivämäärä (anna päivämäärä muodossa ppkkvvvv, esim. Tulokset_THL_1234_14.02.00_2020_a01_15032022)
  • Tulokset voi toimittaa Findataan kahdella tavalla:
    • Jos sinulla on olemassa oleva Nextcloud-tunnus, toimita tulokset Nextcloudin välityksellä
    • Muussa tapauksessa, toimita tulokset turvasähköpostilla

HUOM! Älä lähetä tulostiedostoja Findatalle tavallisen sähköpostin liitetiedostona.

  • Ota yhteys Findataan osoitteeseen data@findata.fi.
    • Kirjoita viestin otsikoksi: Tulosten anonymiteetin varmistus
    • Ilmoita viestissä, toimitatko tuloksia siirtopalvelu Nextcloudin välityksellä vai turvasähköpostilla.
    • Jos toimitat tuloksia Nextcloudin välityksellä, kirjoita viestiin tietoluvan diaarinumero ja Nextcloud-tunnuksesi. Saat Findatalta kansion nimen, johon voit toimittaa tulokset ja yhteenvetolomakkeen sisältävän zip-kansion.
    • Jos toimitat tuloksia turvasähköpostilla, saat Findatalta turvasähköpostin, johon vastaamalla voit toimittaa tulokset ja yhteenvetolomakkeen sisältävän zip-kansion salattuna. Lisäohjeet salauksesta ja aineiston toimittamisesta Nextcloudilla löydät sivulta Aineistojen toimittaminen Findatalle.
  • Jos tulosten anonymiteetin osalta on huomautettavaa, olemme yhteydessä seitsemän arkipäivän sisällä tulosten toimittamisesta.
  • Jos et kuule meistä seitsemän arkipäivän sisällä tulosten toimituksesta, voit edetä tulosten julkaisun osalta.
  • Katso vinkit tulosten anonymiteetin varmistuksen nopeuttamiseen sivun alusta.

Usein kysyttyä anonymiteetin varmistamisesta

Mitä tarkoitetaan henkilötiedolla?

Henkilötietoja ovat sellaiset tiedot, joiden avulla yksittäinen henkilö voidaan tunnistaa joko suoraan tai epäsuorasti.

Suoran tunnistamisen mahdollistavia henkilötietoja ovat esimerkiksi

  • nimi,
  • henkilötunnus,
  • henkilönimen mukainen sähköpostiosoite ja
  • biometriset tunnisteet, kuten sormenjälki, kasvokuva, ääni ja silmän iiris.

Epäsuoran tai välillisen tunnistamisen mahdollistavia henkilötietoja ovat esimerkiksi

  • sukupuoli,
  • ikä,
  • koulutus tai
  • kansallisuus.

Epäsuoria tai välillisiä tietoja voidaan myös yhdistellä ja siten tunnistaa henkilö. Suorien henkilötietojen poistaminen tai korvaaminen ei näin ollen välttämättä tarkoita sitä, ettei aineisto yhä sisältäisi henkilötietoja.

Erityisiä (tai arkaluontoisia) henkilötietoja ovat esimerkiksi

  • etninen alkuperä,
  • seksuaalinen suuntautuminen tai käyttäytyminen,
  • terveystiedot,
  • biometriset tiedot ja
  • geneettiset tiedot.

Erityissuojeltavia henkilötietoja ovat esimerkiksi

  • psykiatriset tiedot,
  • sosiaalihuollon tiedot sekä
  • sukupuolitauti- ja perinnöllisyyslääketieteen tiedot.
Mitä tarkoitetaan anonymisoinnilla ja pseudonymisoinnilla?

Anonymisointi tarkoittaa henkilötietojen muuttamista sellaiseen muotoon, että yksittäisen henkilön tunnistaminen estyy peruuttamattomasti. Tämä voi tarkoittaa esimerkiksi suorien tunnisteiden poistamista ja aineiston karkeistamista yleiselle tasolle siten, että henkilötietoja ei voi muuttaa enää takaisin tunnistettaviksi millään tavalla.

Pseudonymisointi tarkoittaa henkilötietojen muuttamista esimerkiksi koodattuun muotoon. Tällöin nimet ja henkilötunnukset voidaan poistaa ja korvata muulla yksilöllisellä tunnisteella, eli koodilla. Usein säilytetään koodiavain, jolla tietoihin voidaan palauttaa suorat henkilötiedot. Pseudonymisoidut tiedot ovat yhä henkilötietoja.