heb ik onlangs al gezegd dat de Algemene Verordening Gegevensbescherming (GDPR) een ingewikkelde wet is? Zeker, er zijn een aantal onderliggende principes, zoals Privacy by Design (PbD) en andere ideeën, dat als je eenmaal begrijpt, de hele zaak zinvoller. Maar er zijn tal van verrassingen wanneer u zich verdiepen in de legalese. Bijvoorbeeld pseudonimisering.

Wat is dat?

voordat we pseudonimisering uitleggen, is het belangrijk om te begrijpen dat de EU GDPR alleen persoonsgegevens dekt. Het is wat we in de VS persoonlijk identificeerbare informatie (PII) zou noemen. Denk aan namen, adressen, telefoonnummers, accountnummers en recentere e-mail-en IP-adressen.

welke persoonlijke gegevens zijn en niet

Wat als u deze persoonlijke gegevens-ID ‘ s uit bijvoorbeeld een spreadsheet of rapport of een andere bestandsinhoud verwijdert?

u bent bevrijd van de officiële GDPR-voorschriften (en boetes).

noch zou u alle Privacy by Design principes– minimalisatie, bewaarplannen—en veiligheidswaarborgen voor deze niet-persoonlijke gegevens moeten implementeren.

de intellectuele eigendom van uw bedrijf — software, bedrijfsplannen voor wereldheerschappij en andere IP — valt ook niet onder de GDPR.

Ja, dit betekent dat als hackers de marketingplannen voor de volgende grote productlancering stelen, u het incident niet hoeft te melden bij de lokale autoriteit voor gegevensbescherming of DPA

natuurlijk zou een bedrijf nog steeds gegevensbeschermingsmaatregelen willen nemen-kunnen we een inside out aanpak aanbevelen? – voor de inhoud, maar de GDPR vereist het niet!

versleuteling is een Niet-oplossing

terug naar persoonlijke gegevens. De meeste bedrijven kunnen het niet gewoon strippen van hun inhoud. Hoewel, het is geen slecht idee om de bestanden te minimaliseren waar deze persoonlijke gegevens worden weergegeven.

een manier om met inhoud die persoonsgegevens bevat om te gaan en een deel van de lasten van de AVG te verminderen, is door deze te versleutelen.

onder de GDPR geeft het versleutelen van gegevens, in tegenstelling tot de oudere richtlijn gegevensbescherming, u wel enkele voordelen. Het wordt expliciet genoemd als een legitieme manier om de veiligheid van de verwerking van persoonsgegevens aan te pakken—een van de belangrijkste vereisten van de wet.

bedrijven die hun persoonsgegevens versleutelen, hebben ook het voordeel dat zij de betrokkenen niet hoeven te informeren in geval van een inbreuk. (Ze zouden nog steeds de lokale DPA op de hoogte moeten stellen.)

is versleuteling een goedkope truc waarmee u sommige EU-GDPR-regels kunt vermijden?

het is geen slechte truc en het heeft een aantal voordelen, maar het is niet goedkoop.

in onze iOS-filosofie beschouwen we versleuteling als een mogelijke, maar zeer onpraktische oplossing voor het beveiligen van bestandsgegevens. Simpel gezegd: wholesale-encryptie van bestanden met persoonlijke gegevens zou het zeer moeilijk of bijna onmogelijk maken voor werknemers om hun werk gedaan te krijgen.

zoals we al de hele tijd hebben gezegd, is het bestandssysteem waar medewerkers de inhoud (spreadsheets, documenten, presentaties) bewaren en delen waar ze nu aan werken. Het is hun virtuele bureaus, en het toevoegen van een laag van encryptie is houden van het verplaatsen van dingen rond en het maken van hun bureau nog slordiger — niemand vindt dat leuk!- en administratief moeilijk te beheren zijn.

pseudonimisering: het vervangen van Identifiers door Codes

en dit brengt ons uiteindelijk tot pseudonimisering.

het is een door de GDPR goedgekeurde techniek voor het coderen van persoonsgegevens om een deel van de lasten van deze wet te verminderen.

het idee is om persoonlijke identifiers te vervangen door een willekeurige code. Het is hetzelfde idee achter schrijvers die pseudoniemen gebruiken om hun identiteit te verbergen. De GDPR zegt dat je dit op grotere schaal kunt doen als een manier om een aantal van de GDPR-vereisten te verminderen.

in het algemeen zou er een intake systeem moeten zijn dat de ruwe gegevens identificeert en converteert naar deze speciale codes. En er zou een hoofdtabel moeten zijn die de codes weer in kaart brengt in de echte identifiers voor die processen die de originele informatie nodig hebben.

met behulp van deze aanpak zouden werknemers dan kunnen werken met gepseudonimiseerde bestanden waarin de identiteiten van de betrokkenen zouden worden verborgen. De rest van het dossier is natuurlijk leesbaar.

gedeeltelijke versleuteling is misschien een manier om over deze techniek na te denken.

net als encryptie wordt pseudonimisering beschouwd als een beveiligingsmaatregel (zie artikel 32) en wordt het ook expliciet genoemd als een “data by protection by design and by default” of PbD-techniek (zie artikel 25). Het wordt ook beschouwd als een techniek voor het minimaliseren van persoonlijke gegevens — zeer belangrijk voor de GDPR.

en voor datalekken lijkt het deze niet-Advocaat dat betrokkenen niet noodzakelijk op de hoogte hoeven te worden gesteld als hun gepseudonimiseerde gegevens worden gestolen. Technisch, het hangt af van de vraag of er genoeg quasi-identifiers in het gestolen bestand — denk aan postcode, geboortedatum en geslacht — om de hackers in staat te stellen de betrokkene opnieuw te identificeren.

in ieder geval zijn er andere voordelen aan pseudoniemen. De iApp mensen-een non-profit voor privacy pro ‘ s die uitgebreid heeft geschreven op de GDPR — heeft een geweldige blog post uit te leggen meer over.

en Ik zal meer over dit onderwerp schrijven in een volgend bericht.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.