Pseudonymisering

Pseudonymisering är en datahanterings- och avidentifikationsprocedur genom vilken personligt identifierbara informationsfält i en datapost ersätts av en eller flera artificiella identifierare, eller pseudonymer . En enda pseudonym för varje ersatt fält eller samling av ersatta fält gör dataposten mindre identifierbar samtidigt som den förblir lämplig för dataanalys och databehandling .

Pseudonymisering (eller pseudonymisering, stavningen enligt europeiska riktlinjer) är ett sätt att följa EU: s nya allmänna dataskyddsförordning (GDPR) krav på säker datalagring av personlig information. Pseudonymiserade data kan återställas till sitt ursprungliga tillstånd med tillägg av information som gör att individer kan identifieras på nytt. Däremot anonymisering avsedd att förhindra återidentifiering av individer i datamängden.

Inverkan av domen i Schrems II

Den europeiska datatillsynsmannen (EDPS) framhöll den 9 december 2021 pseudonymisering som den bästa tekniska kompletterande åtgärden för efterlevnad av Schrems II. Mindre än två veckor senare framhöll EU-kommissionen pseudonymisering som en väsentlig del av likvärdighetsbeslutet för Sydkorea, vilket är den status som förlorades av USA under Schrems II-domen av EU-domstolen (CJEU). ).

Vikten av GDPR-kompatibel pseudonymisering ökade dramatiskt i juni 2021 när European Data Protection Board (EDPB) och Europeiska kommissionen lyfte fram GDPR-kompatibel pseudonymisering som den senaste tekniska kompletterande åtgärden för den pågående lagliga användningen av EU:s personuppgifter. data när du använder molnprocessorer från tredje land (dvs. icke-EU) eller leverantörer av distanstjänster enligt "Schrems II"-domen av EU-domstolen. Enligt GDPR och slutliga EDPB Schrems II-vägledning kräver termen pseudonymisering ett nytt skyddat "tillstånd" för data, vilket ger ett skyddat resultat som:

(1) Skyddar direkta, indirekta och kvasiidentifierare, tillsammans med egenskaper och beteenden;

(2) Skyddar på post- och datamängdsnivå kontra endast fältnivå så att skyddet färdas vart än data går, inklusive när den används; och

(3) Skyddar mot otillåten återidentifiering via Mosaic Effect genom att generera höga entropi (osäkerhets)nivåer genom att dynamiskt tilldela olika tokens vid olika tidpunkter för olika ändamål.

Kombinationen av dessa skydd är nödvändig för att förhindra återidentifiering av registrerade utan användning av ytterligare information som hålls separat, som krävs enligt GDPR artikel 4.5 och som ytterligare understryks av punkt 85.4 i den slutliga EDPB Schrems II vägledning. GDPR-kompatibel pseudonymisering kräver att uppgifterna är "anonyma" i ordets strikta EU-bemärkelse - globalt anonyma - men för - den ytterligare information som hålls separat och görs tillgänglig under kontrollerade förhållanden som godkänts av den personuppgiftsansvarige för tillåten omidentifiering av individer registrerade.

Innan Schrems II-domen var pseudonymisering en teknik som användes av säkerhetsexperter eller regeringstjänstemän för att dölja personlig identifierbar information för att upprätthålla datastruktur och sekretess för information . Några vanliga exempel på känslig information inkluderar postnummer, lokalisering av individer, namn på individer, ras och kön, etc.

Efter Schrems II-domen måste GDPR-kompatibel pseudonymisering uppfylla de ovan angivna elementen som ett "resultat" kontra bara en teknik.

Datafält

Valet av vilka datafält som ska pseudonymiseras är delvis subjektivt. Mindre selektiva fält, som födelsedatum eller postnummer, ingår ofta också eftersom de vanligtvis är tillgängliga från andra källor och därför gör en post lättare att identifiera. Pseudonymisering av dessa mindre identifierande fält tar bort det mesta av deras analytiska värde och åtföljs därför normalt av införandet av nya härledda och mindre identifierande former, såsom födelseår eller en större postnummerregion .

Datafält som är mindre identifierande, till exempel datum för närvaro, är vanligtvis inte pseudonymiserade. Det är viktigt att inse att detta beror på att för mycket statistisk nytta går förlorad när man gör det, inte för att data inte kan identifieras. Till exempel, givet förkunskaper om ett fåtal närvarodatum är det lätt att identifiera någons data i en pseudonymiserad datauppsättning genom att bara välja de personer med det mönstret av datum. Detta är ett exempel på en slutledningsattack .

Svagheten hos pseudonymiserade data före GDPR för att sluta attacker förbises ofta. Ett känt exempel är AOL-sökdataskandalen . AOL-exemplet på obehörig omidentifiering krävde inte åtkomst till separat förvarad "ytterligare information" som var under kontroll av den personuppgiftsansvarige, vilket nu krävs för GDPR-kompatibel pseudonymisering, som beskrivs nedan under avsnittet "Ny definition för pseudonymisering under GDPR" .

För att skydda statistiskt användbara pseudonymiserade data från återidentifiering krävs:

  1. en sund bas för informationssäkerhet
  2. kontrollera risken för att analytiker, forskare eller andra dataarbetare orsakar integritetsintrång

Pseudonymen tillåter spårning av data till dess ursprung, vilket skiljer pseudonymisering från anonymisering , där all personrelaterad data som kan tillåta backtracking har rensats. Pseudonymisering är en fråga i till exempel patientrelaterad data som måste vidarebefordras säkert mellan kliniker.

Tillämpningen av pseudonymisering på e-hälsa syftar till att bevara patientens integritet och datasekretess . Det tillåter primär användning av medicinska journaler av auktoriserade vårdgivare och sekretess bevarar sekundär användning av forskare. I USA HIPAA riktlinjer för hur hälso- och sjukvårdsdata måste hanteras och dataavidentifiering eller pseudonymisering är ett sätt att förenkla HIPAA-efterlevnad [ citat behövs ] . Men vanlig pseudonymisering för bevarande av integritet når ofta sina gränser när genetiska data är inblandade (se även genetisk integritet ) . På grund av genetiska datas identifierande karaktär är depersonalisering ofta inte tillräcklig för att dölja motsvarande person. Potentiella lösningar är kombinationen av pseudonymisering med fragmentering och kryptering .

Ett exempel på tillämpning av pseudonymiseringsförfarande är att skapa datauppsättningar för avidentifieringsforskning genom att ersätta identifierande ord med ord från samma kategori (t.ex. ersätta ett namn med ett slumpmässigt namn från namnlexikonet), men i detta fall är det i allmänhet inte möjligt att spåra data tillbaka till dess ursprung.

Ny definition för pseudonymisering enligt GDPR

Från och med den 25 maj 2018 definierar EU:s allmänna dataskyddsförordning (GDPR) pseudonymisering för allra första gången på EU-nivå i artikel 4.5. Enligt definitionskraven i artikel 4.5 pseudonymiseras uppgifter om de inte kan hänföras till en specifik registrerad utan användning av separat lagrad "ytterligare information". Pseudonymiserade data förkroppsligar den senaste tekniken inom dataskydd genom design och som standard eftersom det kräver skydd av både direkta och indirekta identifierare (inte bara direkt). GDPR dataskydd genom design och genom standardprinciper som ingår i pseudonymisering kräver skydd av både direkta och indirekta identifierare så att personuppgifter inte är korsreferensbara (eller återidentifierbara) via "Mosaikeffekten" utan tillgång till "ytterligare information" som hålls separat av den registeransvarige. Eftersom tillgång till separat förvarad "tilläggsinformation" krävs för omidentifiering kan tilldelning av uppgifter till en specifik registrerad begränsas av den registeransvarige för att endast stödja lagliga ändamål.

GDPR artikel 25.1 identifierar pseudonymisering som en " lämplig teknisk och organisatorisk åtgärd " och artikel 25.2 kräver att registeransvariga:

"...implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa att som standard endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Denna skyldighet gäller mängden personuppgifter som samlas in, omfattningen av deras behandling, lagringstiden och deras tillgänglighet. Sådana åtgärder ska särskilt säkerställa att personuppgifter som standard inte görs tillgängliga utan individens ingripande för ett obestämt antal fysiska personer.”

En central kärna av dataskydd genom design och som standard enligt GDPR artikel 25 är upprätthållande av tekniska kontroller som stöder lämplig användning och förmågan att visa att du faktiskt kan hålla dina löften. Tekniker som pseudonymisering som upprätthåller dataskydd genom design och som standard visar enskilda registrerade att förutom att komma på nya sätt att hämta värde från data, strävar organisationer efter lika innovativa tekniska tillvägagångssätt för att skydda dataintegriteten – en särskilt känslig och aktuell fråga med tanke på epidemin av datasäkerhetsintrång runt om i världen.

Livfulla och växande områden för ekonomisk aktivitet – "tillitsekonomin", biovetenskaplig forskning, personlig medicin/utbildning, Internet of Things, personalisering av varor och tjänster – bygger på att individer litar på att deras data är privat, skyddad och endast används för ändamålsenliga ändamål som ger dem och samhället maximalt värde. Detta förtroende kan inte upprätthållas med föråldrade metoder för dataskydd. Pseudonymisering, som nyligen definierats under GDPR, är ett sätt att hjälpa till att uppnå dataskydd genom design och som standard för att tjäna och upprätthålla förtroende och mer effektivt tjäna företag, forskare, vårdgivare och alla som förlitar sig på dataintegriteten.

GDPR-kompatibel pseudonymisering möjliggör inte bara större integritetsrespektfull användning av data i dagens " big data "-värld av datadelning och -kombination, utan det gör det också möjligt för personuppgiftsansvariga och processorer att dra explicita fördelar enligt GDPR för korrekt pseudonymiserad data.Fördelarna med korrekt Pseudonymiserad data markeras i flera GDPR-artiklar, inklusive:

  • Artikel 6.4 som en garanti för att säkerställa kompatibiliteten hos ny databehandling.
  • Artikel 25 som en teknisk och organisatorisk åtgärd för att hjälpa till att upprätthålla dataminimeringsprinciper och efterlevnad av Data Protection by Design och by Default-skyldigheter.
  • Artiklarna 32, 33 och 34 som en säkerhetsåtgärd som hjälper till att göra dataintrång "osannolikt att leda till en risk för fysiska personers rättigheter och friheter" och därigenom minska ansvar och anmälningsskyldighet för dataintrång.
  • Artikel 89.1 som skydd i samband med behandling för arkiveringsändamål i allmänhetens intresse; vetenskapliga eller historiska forskningsändamål; eller statistiska ändamål; dessutom ger fördelarna med pseudonymisering enligt artikel 89.1 också större flexibilitet under:
    1. Artikel 5.1 b med avseende på ändamålsbegränsning;
    2. Artikel 5.1 e med avseende på lagringsbegränsning. och
    3. Artikel 9.2 j när det gäller att övervinna det allmänna förbudet mot behandling av artikel 9.1 särskilda kategorier av personuppgifter.
  • Dessutom anses korrekt pseudonymiserade uppgifter i artikel 29-arbetsgruppens yttrande 06/2014 spela "...en roll när det gäller utvärderingen av den potentiella inverkan av behandlingen på den registrerade ... tippar balansen till förmån för den registeransvarige ” för att hjälpa till att stödja behandling av legitima intressen som en rättslig grund enligt artikel GDPR 6(1)(f). Fördelarna med att behandla personuppgifter med hjälp av pseudonymiserat legitimt intresse som rättslig grund enligt GDPR inkluderar, utan begränsning:
    1. Enligt artikel 17.1 c, om en personuppgiftsansvarig visar att de "har övervägande legitima skäl för behandling" med stöd av tekniska och organisatoriska åtgärder för att uppfylla intresseavvägningstestet, har de större flexibilitet när det gäller att följa Rätten att bli glömd-förfrågningar. .
    2. Enligt artikel 18.1 d har en personuppgiftsansvarig flexibilitet när det gäller att följa krav på att begränsa behandlingen av personuppgifter om de kan visa att de har tekniska och organisatoriska åtgärder på plats så att den personuppgiftsansvariges rättigheter på ett korrekt sätt åsidosätter dem som den registrerade eftersom de registrerades rättigheter skyddas.
    3. Enligt artikel 20.1 omfattas personuppgiftsansvariga som använder behandling av legitimt intresse inte av rätten till portabilitet, som endast gäller för samtyckesbaserad behandling.
    4. Enligt artikel 21.1 kan en personuppgiftsansvarig som använder behandling av legitimt intresse kunna visa att de har lämpliga tekniska och organisatoriska åtgärder på plats så att den registeransvariges rättigheter på ett korrekt sätt åsidosätter den registrerades rättigheter eftersom de registrerades rättigheter är skyddade; registrerade har dock alltid rätt enligt artikel 21.3 att inte få direkt marknadsföring som ett resultat av sådan behandling.

Se även

Hämtad från " https://sv.wikipedia.org/w/index.php?title=Pseudonymization&oldid=1134997371 "