har jeg for nylig nævnt, at den generelle databeskyttelsesforordning (GDPR) er en kompliceret lov? Sikker på, at der er nogle underliggende principper, såsom Privacy by Design (PbD) og andre ideer, at når du først har forstået det, giver det hele mere mening. Men der er masser af overraskelser, når du dykker ned i legalese. For eksempel pseudonymisering.

Hvad er det?

før vi forklarer pseudonymisering, er det vigtigt at forstå, at EU GDPR kun dækker personoplysninger. Det er, hvad vi i USA ville kalde personligt identificerbare oplysninger (PII). Tænk navne, adresser, telefonnumre, kontonumre og for nylig e-mail-og IP-adresser.

hvilke personlige Data er og er ikke

Hvad hvis du fjerner disse personlige dataidentifikatorer fra f. eks. et regneark eller en rapport eller noget andet filindhold?

du er fri for officielle GDPR-regler (og bøder).

du ville heller ikke være nødt til at implementere alle principperne om beskyttelse af personlige oplysninger– minimering, opbevaringsplaner—og sikkerhedsforanstaltninger for disse ikke-personlige data.

din virksomheds intellektuelle ejendom — programmer, forretningsplaner for verdensherredømme og anden IP — falder heller ikke ind under GDPR.

Ja, det betyder, at hvis hackere stjæler marketingplanerne for den næste store produktlancering, behøver du ikke at rapportere hændelsen til den lokale databeskyttelsesmyndighed eller DPA

selvfølgelig vil en virksomhed stadig tage databeskyttelsesforanstaltninger — kan vi anbefale en Inside Out tilgang? – for dets indhold, men GDPR kræver det ikke!

kryptering er en ikke-løsning

Tilbage til personlige data. De fleste virksomheder kan ikke bare fjerne det fra deres indhold. Selvom det ikke er en dårlig ide at minimere de filer, hvor disse personlige data vises.

en måde at håndtere indhold, der indeholder personlige data og mindske nogle af byrderne ved GDPR, er at kryptere det.

i modsætning til det ældre databeskyttelsesdirektiv giver kryptering af data dig nogle fordele. Det er udtrykkeligt nævnt som en legitim måde at tackle sikkerheden ved behandling af personoplysninger—et af lovens nøglekrav.

virksomheder, der krypterer deres personlige data, får også fordelen ved ikke at skulle underrette registrerede i tilfælde af et brud. (De skal dog stadig underrette den lokale DPA.)

er kryptering et billigt trick, der giver dig mulighed for at undgå nogle af EU ‘ s GDPR-regler?

det er ikke et dårligt trick, og det har nogle fordele, men det er ikke billigt.

i Vores IOS-filosofi betragter vi kryptering som en mulig, men meget upraktisk løsning til sikring af fildata. Kort sagt: engroskryptering af filer, der indeholder personlige data, ville gøre det meget vanskeligt eller næsten umuligt for medarbejderne at få deres arbejde udført.

som vi har sagt hele tiden, er filsystemet, hvor medarbejderne opbevarer og deler indholdet (regneark, dokumenter, præsentationer), som de arbejder på nu. Det er deres virtuelle skriveborde, og at tilføje et lag kryptering kan lide at flytte tingene rundt og gøre deres skrivebord endnu sloppere — ingen kan lide det!- ud over at være administrativt vanskeligt at styre.

pseudonymisering: udskiftning af identifikatorer med koder

og dette bringer os endelig til pseudonymisering.

det er en GDPR-godkendt teknik til kodning af personoplysninger for at reducere nogle af byrderne i denne lov.

ideen er at erstatte personlige identifikatorer med en tilfældig kode. Det er den samme ide bag forfattere, der bruger pseudonymer til at skjule deres identitet. GDPR siger, at du kan gøre dette i større skala som en måde at mindske nogle af GDPR-kravene på.

generelt skulle der være et indtagssystem, der ville behandle rådataidentifikatorerne og konvertere dem til disse specielle koder. Og der skulle være en mastertabel, der kortlægger koderne tilbage i de rigtige identifikatorer for de processer, der har brug for de originale oplysninger.

Ved hjælp af denne tilgang kunne medarbejderne derefter arbejde med pseudonymiserede filer, hvor de registreredes identitet ville være skjult. Resten af filen ville naturligvis være læsbar.

delvis kryptering er måske en måde at tænke på denne teknik.

ligesom kryptering betragtes pseudonymisering som en sikkerhedsbeskyttelsesforanstaltning (Se artikel 32), og den nævnes også eksplicit som en “data ved beskyttelse ved design og som standard” eller PbD-teknik (Se artikel 25). Det betragtes også som en minimering af personoplysninger-meget vigtig for GDPR.

og for dataovertrædelser ser det ud til, at denne ikke-Advokat ikke nødvendigvis behøver at blive underrettet, hvis deres pseudonymiserede data blev stjålet. Teknisk set afhænger det af, om der er nok kvasi-identifikatorer i den stjålne fil — husk Postnummer, fødselsdato og køn — for at give hackerne mulighed for at identificere den registrerede igen.

under alle omstændigheder er der andre fordele ved pseudonymer. IAPP-Folkene-en non — profit for privacy pros, der har skrevet udførligt om GDPR-har et godt blogindlæg, der forklarer mere om det.

og jeg vil skrive mere om dette emne i et fremtidigt indlæg.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.