Organisaation on laadittava ja ylläpidettävä dokumentoitua menettelyä pseudonymisoinnin ja muiden yksityisyyden suojaa parantavien tekniikoiden toteuttamiseksi henkilötietoja käsiteltäessä. Näillä toimenpiteillä pyritään minimoimaan yksilöiden tunnistamisen riski tietojen käsittelyn, jakamisen tai luovuttamisen aikana.

Menettelyn olisi sisällettävä seuraavat keskeiset vaatimukset:

• Korvaa, peitä tai poista tunnisteet ja tietoelementit, jotka voisivat paljastaa yksilön henkilöllisyyden.
• Varmistetaan, että uudelleen tunnistaminen on mahdollista vain valtuutetuissa ja valvotuissa olosuhteissa.
• Sovelletaan riskitasoon ja käsittelytoimien luonteeseen sopivia pseudonymisointimenetelmiä.
• Dokumentoidaan ja tarkistetaan säännöllisesti pseudonymisointimenettelyt ja suojatoimet tehokkuuden varmistamiseksi.
• Varmistetaan johdonmukainen soveltaminen kaikissa järjestelmissä ja käsittelytoimissa henkilötietojen luottamuksellisuuden, eheyden ja turvallisuuden säilyttämiseksi.

Kun henkilötietoja käsitellään tieteellisiin, tutkimus- tai tilastollisiin tarkoituksiin ilman suostumusta, organisaation olisi toteutettava ja dokumentoitava erityiset suojatoimet. Näihin on sisällyttävä:

• Tarkoituksen selkeä määrittely käsittelytoimien kirjaamisessa.
• Tietojen minimointiperiaatteiden soveltaminen.
• Pseudonymisoinnin käyttäminen silloin, kun se ei estä tutkimustarkoitusta.
• Arvioidaan ja lievennetään mahdollisia kielteisiä vaikutuksia rekisteröityjen oikeuksiin ja etuihin.

Organisaation on määritettävä tilanteet, joissa henkilötietojen tai muiden luottamuksellisten tietojen suojaaminen on erityisen tärkeää, ja tarvittaessa toteutettava tällaisen tiedon piilottamista sopivan vahvuisilla menetelmillä, esimerkiksi naamiointia (masking), pseudonymisointia tai anonymisointia hyödyntäen.

Anonymisoinnin ja pseudonymisoinnin lisäksi mahdollisia käytettäviä tekniikoita ovat mm.:

• salaus
• merkkien nollaus tai poistaminen
• arvojen vaihtaminen
• arvojen korvaaminen hasheilla