PII & Dataskyddsordlista
Tydliga definitioner av centrala termer inom integritet, efterlevnad och dataskydd som används i branschen.
Integritets- & Efterlevnadstermer
Personligt identifierbar information (PII)
All data som kan identifiera en specifik individ, såsom namn, e-postadresser, personnummer eller telefonnummer.
Anonymisering
Den oåterkalleliga processen att ändra data så att individer inte kan identifieras, direkt eller indirekt.
Pseudonymisering
Att ersätta identifierbar data med artificiella identifierare (pseudonymer) så att återidentifiering kräver en separat nyckel.
De-identifikation
Att ta bort eller dölja personliga identifierare från data så att den inte längre kan kopplas till en specifik individ utan ytterligare information.
Registrerad person
En identifierad eller identifierbar fysisk person vars personuppgifter behandlas av en personuppgiftsansvarig eller personuppgiftsbiträde.
Personuppgiftsansvarig
Den enhet som bestämmer syften och medel för behandling av personuppgifter.
Personuppgiftsbiträde
En enhet som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig, enligt dennes instruktioner.
Samtycke
En fritt given, specifik, informerad och entydig indikation av en registrerad persons samtycke till behandlingen av deras personuppgifter.
Laglig grund
En rättslig grund under vilken behandling av personuppgifter är tillåten, såsom samtycke, kontraktsnödvändighet, rättslig skyldighet eller berättigat intresse.
Dataminimering
Principen att insamlad personuppgift ska vara adekvat, relevant och begränsad till vad som är nödvändigt för sitt avsedda syfte.
Rätt till radering
En registrerad persons rätt att få sina personuppgifter raderade när de inte längre är nödvändiga, även känd som 'rätten att bli glömd' enligt GDPR.
Dataportabilitet
Rätten för registrerade personer att ta emot sina personuppgifter i ett strukturerat, allmänt använt format och att överföra dem till en annan personuppgiftsansvarig.
Dataskyddsombud (DPO)
En utsedd person som ansvarar för att övervaka en organisations dataskyddsstrategi och säkerställa efterlevnad av dataskyddsregler.
Dataskyddsbedömning (DPIA)
En process för att identifiera och minimera dataskyddsrisker för ett projekt, som krävs enligt GDPR för hög-riskbehandlingsaktiviteter.
Dataintrång
En säkerhetsincident där personuppgifter åtkoms, avslöjas, ändras eller förstörs utan auktorisation.
Shadow AI
Otillåten användning av AI-verktyg (ChatGPT, Copilot, Gemini) av anställda utan IT-godkännande. Shadow AI är en ledande orsak till PII-dataläckor, eftersom användare klistrar in känslig affärsdata – kundregister, patientinformation, finansiell data – direkt i AI-meddelanden.
Dataminimering
En GDPR-princip (Art. 5(1)(c)) som kräver att organisationer samlar in och behandlar endast de minimiuppgifter som krävs för ett specifikt ändamål. I AI-system innebär dataminimering att anonymisera eller ta bort PII innan data kommer in i AI-pipelines, vilket minskar efterlevnadsrisken och intrångsytan.
Regulatoriska Ramverk
GDPR (Allmänna dataskyddsförordningen)
EU-förordningen som reglerar behandling av personuppgifter för individer inom det europeiska ekonomiska området, giltig sedan maj 2018.
CCPA (California Consumer Privacy Act)
En kalifornisk lag som ger konsumenter rättigheter över sin personliga information som samlas in av företag, giltig sedan januari 2020.
HIPAA (Health Insurance Portability and Accountability Act)
En amerikansk federal lag som fastställer standarder för att skydda känslig patientinformation från avslöjande utan samtycke.
ISO 27001
En internationell standard för informationssäkerhetshanteringssystem (ISMS), som specificerar krav för att etablera, implementera och kontinuerligt förbättra säkerhetskontroller.
SOC 2 (System and Organization Controls 2)
Ett revisionsramverk för tjänsteorganisationer som utvärderar kontroller relaterade till säkerhet, tillgänglighet, bearbetningsintegritet, konfidentialitet och integritet.
EU AI Act
Europeiska unionens förordning om artificiell intelligens (tillämpas från augusti 2026). AI-system med hög risk måste implementera datastyrningsåtgärder inklusive minimering av personuppgifter, dokumentation och DPIA. Organisationer som använder AI för att fatta beslut om individer måste se till att träningsdata anonymiseras eller pseudonymiseras.
ISO 42001
Internationell standard för AI Management Systems (AIMS), publicerad 2023. Tillhandahåller ett ramverk för ansvarsfull AI-utveckling och implementering, inklusive datakvalitet, fördomskontroller och integritetsskydd. Ofta ihopkopplad med ISO 27001 för organisationer som använder AI-system med personuppgifter.
Indien DPDP Act
Indiens Digital Personal Data Protection Act (2023), tillämpas från 2025. Kräver uttryckligt samtycke för behandling av personuppgifter från indiska invånare, lokalisering av data för känsliga uppgifter och meddelande om intrång inom 72 timmar. Gäller organisationer globalt som behandlar indiska medborgares data.
Tekniska Termer
Named Entity Recognition (NER)
En NLP-teknik som identifierar och klassificerar namngivna entiteter i text i fördefinierade kategorier som personnamn, platser och organisationer.
Natural Language Processing (NLP)
En gren av artificiell intelligens som möjliggör för datorer att förstå, tolka och generera mänskligt språk.
Mönsterigenkännare
En regelbaserad detektor som använder reguljära uttryck och kontextuella ledtrådar för att identifiera specifika datapatter, såsom kreditkortsnummer eller personnummer.
Konfidenspoäng
Ett numeriskt värde mellan 0 och 1 som indikerar hur säker en detektionsmotor är på att en text matchar en specifik entitetstyp.
Reguljärt uttryck (Regex)
En sekvens av tecken som definierar ett sökmönster, vanligtvis använt för att validera och upptäcka strukturerade dataformat som telefonnummer eller e-postadresser.
AES-256-GCM
En autentiserad krypteringsalgoritm som använder en 256-bitars nyckel med Galois/Counter-läge, vilket ger både konfidentialitet och integritetsverifiering av krypterad data.
Zero-Knowledge Encryption
En krypteringsarkitektur där endast användaren har dekrypteringsnyckeln, vilket innebär att även tjänsteleverantören inte kan få tillgång till den okrypterade datan.
Tokenisering
Att ersätta känslig data med icke-känsliga platshållartoken som kan kopplas tillbaka till den ursprungliga datan genom en säker uppslagning.
Datamaskering
Att dölja specifik data inom en dataset så att känslig information är gömd medan datan förblir användbar för testning eller analys.
Redigering
Den permanenta borttagningen av känslig information från ett dokument eller dataset, vilket ersätter den med en markör som [REDACTED].
Syntetisk data
AI-genererad data som statistiskt efterliknar verkliga data utan att innehålla faktiska poster. Jämfört med anonymisering: anonymiserad data bevarar högre analytisk noggrannhet för nedströms ML; syntetiska data eliminerar risken för återidentifikation men introducerar statistisk drift. Reversibel anonymisering är att föredra när originaldokument kan behövas för efterlevnadsrevisioner.
LLM snabb injektion
En attackteknik där skadlig inmatning manipulerar en stor språkmodell för att ignorera instruktioner eller läcka känslig information. I PII-skyddssammanhang kan snabb injektion få en AI-modell att avslöja anonymiserade datamönster eller användarinformation. Pre-anonymisering av ingångar innan de når LLM:er minskar attackytan.
Privacy-by-Design
A GDPR Art. 25 principen som kräver att dataskydd byggs in i systemen från grunden i stället för att läggas till som en eftertanke. För AI-system innebär integritetsdesign att anonymisera data innan den går in i AI-pipelines, implementera nollkunskapskryptering och minimera datalagring.
Anonymiseringsmetoder
Ersätt
Ersätter upptäckta PII med en generell platshållare av samma entitetstyp, såsom att ersätta 'John Smith' med '<PERSON>'.
Maskera
Döljer delvis PII genom att ersätta tecken med maskeringstecken, till exempel att omvandla '123-45-6789' till '***-**-6789'.
Redigera
Tar helt bort upptäckta PII från texten, utan att lämna några spår av det ursprungliga värdet.
Hash
Konverterar PII till en fast längd kryptografisk hash, vilket möjliggör konsekvent ersättning samtidigt som det gör omvändning beräkningsmässigt orealistiskt.
Kryptera
Transformera PII med AES-256-GCM-kryptering med en användarägd nyckel, vilket möjliggör auktoriserad omvändning (de-anonymisering) när det behövs.
Vanliga Frågor
Vad är skillnaden mellan anonymisering och pseudonymisering?
Anonymisering tar oåterkalleligt bort all identifierande information så att återidentifiering är omöjlig. Pseudonymisering ersätter identifierare med artificiella medan en separat nyckel hålls som möjliggör återidentifiering när det är auktoriserat. Enligt GDPR betraktas pseudonymiserade data fortfarande som personuppgifter.
Varför använder PII-detektering både NLP och mönsterigenkännare?
NLP-modeller upptäcker kontextberoende entiteter som personnamn och platser som saknar ett fast format. Mönsterigenkännare använder reguljära uttryck för att fånga strukturerade identifierare som personnummer, kreditkortsnummer och telefonnummer. Genom att kombinera båda metoderna maximeras detektionsnoggrannheten över alla entitetstyper.
Vad är zero-knowledge encryption och varför är det viktigt?
Zero-knowledge encryption innebär att endast du har dekrypteringsnyckeln — tjänsteleverantören kan inte läsa dina data. Detta är viktigt eftersom även vid en serveröverträdelse förblir dina krypterade data oläsliga utan din nyckel, vilket ger det starkaste möjliga dataskyddet.
Hur skiljer sig reversibel kryptering från hashing?
Hashing är en envägsomvandling — när data har haschats kan den ursprungliga inte återställas. Reversibel kryptering (med AES-256-GCM) tillåter auktoriserade användare med rätt nyckel att dekryptera och återfå den ursprungliga datan, vilket möjliggör arbetsflöden där de-anonymisering behövs.