Olenko viime aikoina maininnut, että yleinen tietosuoja-asetus (GDPR) on monimutkainen laki? Toki taustalla on joitakin periaatteita, kuten Privacy by Design (PBD) ja muita ideoita, että kun ymmärrät, koko asia on järkevämpi. Yllätyksiä kuitenkin riittää, kun pureutuu lakialoitteeseen. Esimerkiksi pseudonymisointi.

mikä tuo on?

ennen kuin selitämme pseudonymisoinnin, on tärkeää ymmärtää, että EU: n tietosuoja-asetus kattaa vain henkilötiedot. Se on mitä me Yhdysvalloissa kutsuisimme henkilökohtaisesti tunnistettavia tietoja (PII). Ajattele nimiä, osoitteita, puhelinnumeroita, tilinumeroita ja viime aikoina sähköposti-ja IP-osoitteita.

mitä henkilötiedot ovat ja eivät ole

Mitä jos poistat nämä henkilötietotunnisteet vaikkapa laskentataulukosta tai raportista tai jostain muusta tiedoston sisällöstä?

vapaudut GDPR: n virallisista määräyksistä (ja sakoista).

sinun ei myöskään tarvitsisi toteuttaa kaikkia Yksityisyydensuojan suunnitteluperiaatteita– minimointia, säilyttämissuunnitelmia—ja tietoturvasuojauksia näiden Ei-henkilökohtaisten tietojen osalta.

yrityksesi immateriaalioikeudet — ohjelmistot, liiketoimintasuunnitelmat maailmanvalloituksesta ja muut IP: t — eivät myöskään kuulu GDPR: n piiriin.

Kyllä, tämä tarkoittaa sitä, että jos hakkerit varastavat markkinointisuunnitelmat seuraavaa suurta tuotelanseerausta varten, sinun ei tarvitse ilmoittaa tapauksesta paikalliselle tietosuojaviranomaiselle tai DPA: lle

tietenkin, yritys haluaisi silti ryhtyä tietosuojatoimenpiteisiin — voimmeko suositella nurinpäin-lähestymistapaa? – sen sisällöstä, mutta GDPR ei vaadi sitä!

salaus on ei-ratkaisu

takaisin henkilötietoihin. Useimmat yritykset eivät voi vain poistaa sitä sisällöstään. Vaikka, se ei ole huono idea minimoida tiedostot, joissa nämä henkilötiedot näkyvät.

yksi tapa käsitellä henkilötietoja sisältävää sisältöä ja vähentää joitakin GDPR: n rasitteita on salata se.

GDPR: n mukaan, toisin kuin vanhemmassa tietosuojadirektiivissä, tietojen salaamisesta saa joitakin etuja. Se mainitaan nimenomaisesti laillisena tapana käsitellä henkilötietojen käsittelyn turvallisuutta-yksi lain keskeisistä vaatimuksista.

henkilötietojaan salaavat yritykset saavat myös etua siitä, että tietoturvaloukkauksesta ei tarvitse ilmoittaa rekisteröidyille. (He kuitenkin, olisi ilmoitettava paikalliselle DPA.)

Onko salaus halpa kikka, jonka avulla voi välttää osan EU: n GDPR-säännöistä?

se ei ole huono temppu ja siinä on joitakin etuja, mutta se ei ole halpa.

IOS-filosofiassamme pidämme salausta mahdollisena, mutta hyvin epäkäytännöllisenä ratkaisuna tiedostojen tietojen turvaamiseen. Yksinkertaisesti sanottuna: henkilötietoja sisältävien tiedostojen tukkutason salaus tekisi työntekijöiden työn tekemisen erittäin vaikeaksi tai lähes mahdottomaksi.

kuten olemme sanoneet koko ajan, tiedostojärjestelmä on se, jossa työntekijät säilyttävät ja jakavat sisältöä (taulukkolaskenta, dokumentit, esitykset), jota he työstävät nyt. Se on heidän virtuaalinen työpöydät, ja lisäämällä kerros salaus on mieleen siirtää asioita ympäri ja tehdä niiden työpöytä vieläkin sloppier — kukaan ei pidä siitä!- ja hallinnollisesti vaikeasti hallittavissa.

Pseudonymisointi: tunnisteiden korvaaminen koodeilla

ja tästä päästään lopulta pseudonymisointiin.

se on GDPR: n hyväksymä tekniikka henkilötietojen koodaamiseen, jotta voidaan vähentää joitakin tämän lain rasitteita.

ideana on korvata henkilötunnukset satunnaiskoodilla. Sama ajatus on kirjailijoilla, jotka käyttävät salanimiä salatakseen henkilöllisyytensä. GDPR sanoo, että voit tehdä tämän suuremmassa mittakaavassa keinona vähentää joitakin GDPR vaatimuksia.

yleensä täytyisi olla Imujärjestelmä, joka käsittelisi raakatietotunnisteet ja muuntaisi ne näihin erikoiskoodeihin. Ja pitäisi olla päätaulukko, joka kartoittaa koodit takaisin todellisiksi tunnisteiksi niille prosesseille, jotka tarvitsevat alkuperäistä tietoa.

tämän lähestymistavan avulla työntekijät voisivat työskennellä pseudonymisoitujen tiedostojen kanssa, joihin rekisteröityjen henkilöllisyydet piilotettaisiin. Loput tiedostosta olisi tietysti luettavissa.

osittainen salaus on ehkä yksi tapa ajatella tätä tekniikkaa.

salauksen tavoin pseudonymisointia pidetään tietoturvan suojaustoimenpiteenä (KS.artikla 32) ja se mainitaan myös nimenomaisesti ”data by protection by design and by default” – tai PbD-tekniikkana (KS. artikla 25). Sitä pidetään myös henkilötietojen minimointitekniikkana-erittäin tärkeänä GDPR: n kannalta.

ja tietomurroista näyttää siltä, että rekisteröidyille ei välttämättä tarvitsisi ilmoittaa, jos heidän pseudonymisoidut tietonsa varastetaan. Teknisesti se riippuu siitä, onko varastetussa tiedostossa tarpeeksi kvasitunnisteita-muista postinumero, syntymäaika ja sukupuoli — jotta hakkerit voivat tunnistaa rekisteröidyn uudelleen.

salanimillä on joka tapauksessa muitakin etuja. IAPP folks – voittoa yksityisyyden ammattilaiset, joka on kirjoittanut laajasti GDPR-on suuri blogikirjoitus selittää lisää siitä.

ja kirjoitan aiheesta lisää tulevaan postaukseen.

Vastaa

Sähköpostiosoitettasi ei julkaista.