am menționat în ultima vreme că Regulamentul General privind protecția datelor (GDPR) este o lege complicată? Sigur, există câteva principii care stau la baza, cum ar fi confidențialitatea prin Design (PbD) și alte idei, că odată ce înțelegeți, totul are mai mult sens. Dar există o mulțime de surprize atunci când se îngropa în legalese. De exemplu, pseudonimizarea.

Ce este asta?

înainte de a explica pseudonimizarea, este important să înțelegeți că GDPR UE acoperă numai datele personale. Este ceea ce noi în SUA ar numi informații de identificare personală (PII). Gândiți-vă la nume, adrese, numere de telefon, numere de cont și, mai recent, adrese de e-mail și IP.

ce date cu caracter Personal sunt și nu sunt

Ce se întâmplă dacă eliminați acești identificatori de date cu caracter personal dintr-o foaie de calcul sau dintr-un raport sau dintr-un alt conținut al fișierului?

sunteți eliberat de reglementările oficiale GDPR (și amenzi).

nici nu va trebui să implementați toate principiile Privacy by Design– minimizarea, planurile de păstrare—și garanțiile de securitate pentru aceste date fără caracter personal.

proprietatea intelectuală a companiei dvs. — software, planuri de afaceri pentru dominația mondială și alte IP — nu intră, de asemenea, sub incidența GDPR.

da, asta înseamnă că dacă hackerii fură planurile de marketing pentru următoarea mare lansare de produs, nu trebuie să raportați incidentul autorității locale pentru protecția datelor sau DPA

desigur, o companie ar dori în continuare să ia măsuri de protecție a datelor — putem recomanda o abordare din interior? – pentru conținutul său, dar GDPR nu o cere!

criptarea este o non-soluție

înapoi la datele personale. Majoritatea companiilor nu pot pur și simplu să-l elimine din conținutul lor. Deși, nu este o idee rea să minimalizați fișierele în care apar aceste date personale.

o modalitate de a trata conținutul care conține date personale și de a reduce unele dintre sarcinile GDPR este criptarea acestuia.conform GDPR, spre deosebire de Directiva mai veche privind protecția datelor, criptarea datelor vă oferă unele beneficii. Este menționat în mod explicit ca o modalitate legitimă de a aborda securitatea prelucrării datelor cu caracter personal—una dintre cerințele cheie ale legii.

companiile care își criptează datele cu caracter personal obțin, de asemenea, avantajul de a nu fi nevoite să notifice persoanele vizate în cazul unei încălcări. (Ei încă, deși, ar trebui să notifice DPA locale.)

criptarea este un truc ieftin care vă permite să evitați unele dintre regulile GDPR ale UE?

nu este un truc rău și are unele avantaje, dar nu este ieftin.

în filozofia noastră IOS, considerăm criptarea ca o soluție posibilă, dar foarte impracticabilă pentru securizarea datelor fișierelor. Mai simplu spus: criptarea cu ridicata a fișierelor care conțin date cu caracter personal ar face foarte dificil sau aproape imposibil pentru angajați să-și facă munca.așa cum am spus tot timpul, Sistemul de fișiere este locul în care angajații păstrează și partajează conținutul (foi de calcul, documente, prezentări) la care lucrează acum. Este birourile lor virtuale, și adăugarea unui strat de criptare este place lucrurile în mișcare în jurul și de a face biroul lor chiar sloppier — nimeni nu-i place asta!- pe lângă faptul că este dificil de gestionat din punct de vedere administrativ.

pseudonimizare: înlocuirea identificatorilor cu coduri

și acest lucru ne aduce în cele din urmă la pseudonimizare.

este o tehnică aprobată de GDPR pentru codificarea datelor cu caracter personal pentru a reduce unele dintre sarcinile acestei legi.

ideea este de a înlocui identificatorii personali cu un cod aleatoriu. Este aceeași idee din spatele scriitorilor care folosesc pseudonime pentru a-și ascunde identitatea. GDPR spune că puteți face acest lucru la o scară mai mare ca o modalitate de a diminua unele dintre cerințele GDPR.

În general, ar trebui să existe un sistem de admisie care să proceseze identificatorii de date brute și să le transforme în aceste coduri speciale. Și ar trebui să existe un tabel principal care mapează codurile înapoi în identificatorii reali pentru acele procese care au nevoie de informațiile originale.

folosind această abordare, angajații ar putea lucra apoi cu fișiere pseudonimizate în care identitățile persoanelor vizate ar fi ascunse. Restul fișierului, desigur, ar fi lizibil.

criptarea parțială este poate o modalitate de a gândi la această tehnică.

ca și criptarea, pseudonimizarea este considerată o măsură de protecție a securității (a se vedea articolul 32) și este, de asemenea, menționată în mod explicit ca „date prin protecție prin proiectare și implicit” sau tehnică PbD (a se vedea articolul 25). De asemenea, este considerată o tehnică de minimizare a datelor cu caracter personal — foarte importantă pentru GDPR.

și pentru încălcarea datelor, Acest non-avocat pare că persoanele vizate nu ar trebui neapărat să fie notificate dacă datele lor pseudonimizate au fost furate. Din punct de vedere tehnic, depinde dacă există suficienți cvasi-identificatori în fișierul furat — amintiți — vă Codul poștal, data nașterii și sexul-pentru a permite hackerilor să re-identifice persoana vizată.

în orice caz, există și alte avantaje pentru pseudonime. Oamenii IAPP – o organizație non-profit pentru profesioniștii din domeniul confidențialității care a scris pe larg despre GDPR-are o postare excelentă pe blog care explică mai multe despre aceasta.

și voi scrie mai multe despre acest subiect într-o postare viitoare.

Lasă un răspuns

Adresa ta de email nu va fi publicată.