valinta siitä, mitkä tietokentät pseudonymisoidaan, on osittain Subjektiivinen. Myös vähemmän valikoivat kentät, kuten syntymäaika tai postinumero, ovat usein mukana, koska ne ovat yleensä saatavilla muista lähteistä ja siten helpottavat tietojen tunnistamista. Näiden vähemmän tunnistettavien kenttien pseudonymisointi poistaa suurimman osan niiden analyyttisestä arvosta, minkä vuoksi siihen yleensä liittyy uusien johdettujen ja vähemmän tunnistavien lomakkeiden, kuten syntymävuoden tai suuremman postinumeroalueen, käyttöönotto.
tietokenttiä, jotka ovat vähemmän tunnistettavia, kuten osallistumispäivä, ei yleensä ole pseudonymisoitu. On tärkeää ymmärtää, että tämä johtuu liian paljon tilastollinen hyödyllisyys menetetään näin, ei siksi, että tietoja ei voida tunnistaa. Esimerkiksi, koska etukäteen tietoa muutaman läsnäolo päivämäärät on helppo tunnistaa jonkun tiedot pseudonymized dataset valitsemalla vain ne ihmiset, joilla on, että kuvio päivämääriä. Tämä on esimerkki päättelyhyökkäyksestä.
GDPR: ää edeltävän pseudonymisoidun tiedon heikkous päättelyhyökkäyksiin jää yleisesti huomiotta. Kuuluisa esimerkki on AOL-hakudatan skandaali. AOL-esimerkki luvattomasta uudelleen tunnistamisesta ei edellyttänyt pääsyä erikseen säilytettäviin ”lisätietoihin”, jotka olivat rekisterinpitäjän hallinnassa, kuten nyt vaaditaan GDPR-yhteensopiva Pseudonymisointi. Katso Uusi määritelmä Pseudonymisointi GDPR alla.
tilastollisesti hyödyllisten pseudonymisoitujen tietojen suojaaminen uudelleen tunnistamiselta edellyttää:
- luotettava tietoturvapohja
- kontrolloi riskiä, että analyytikot, tutkijat tai muut tietotyöntekijät aiheuttavat yksityisyyden suojan rikkomisen
salanimi mahdollistaa tietojen jäljittämisen takaisin alkuperäänsä, mikä erottaa pseudonymisoinnin anonymisoinnista, jossa kaikki henkilöön liittyvät tiedot, jotka voisivat mahdollistaa jäljittämisen, on puhdistettu. Pseudonymisointi on ongelma esimerkiksi potilasaineistossa, joka on siirrettävä turvallisesti kliinisten keskusten välillä.
pseudonymisoinnin soveltaminen sähköiseen terveydenhuoltoon pyrkii säilyttämään potilaan yksityisyyden ja tietojen luottamuksellisuuden. Se mahdollistaa terveystietojen ensisijaisen käytön valtuutetuilla terveydenhuollon tarjoajilla ja yksityisyyden säilyttämisen tutkijoiden toissijaisessa käytössä. Yhdysvalloissa HIPAA antaa ohjeita siitä, miten terveydenhuollon tietoja on käsiteltävä ja tietojen de-identification tai pseudonymisointi on yksi tapa yksinkertaistaa HIPAA compliance. Kuitenkin pelkkä pseudonymisointi yksityisyyden säilyttämistä varten saavuttaa usein rajansa, kun geneettinen data on mukana (Katso myös geneettinen Yksityisyys). Geenitiedon tunnistettavuuden vuoksi depersonalisaatio ei useinkaan riitä peittämään vastaavaa henkilöä. Mahdollisia ratkaisuja ovat pseudonymisoinnin yhdistäminen pirstoutumiseen ja salaukseen.
esimerkki pseudonymisointimenettelyn soveltamisesta on tietokokonaisuuksien luominen tunnistamisen tutkimista varten korvaamalla tunnistussanat saman kategorian sanoilla (esim.korvaamalla nimi satunnaisella nimellä nimisanakirjasta), mutta tässä tapauksessa ei yleensä ole mahdollista jäljittää tietoja takaisin niiden alkulähteille.
Uusi määritelmä Pseudonymisoinnille GDPREdit
astui voimaan 25. toukokuuta 2018, EU: n yleinen tietosuoja-asetus (GDPR) määrittelee pseudonymisoinnin ensimmäistä kertaa EU: n tasolla 4 artiklan 5 kohdassa. Asetuksen 4 artiklan 5 kohdan määritelmävaatimusten mukaan tiedot pseudonymisoidaan, jos niitä ei voida osoittaa tietylle rekisteröidylle ilman erikseen säilytettäviä lisätietoja.”Pseudonymized data ilmentää viimeisintä tekniikkaa tietosuojan suunnittelussa ja oletusarvoisesti, koska se vaatii suojaa sekä suorilta että epäsuorilta tunnisteilta (ei vain suorilta). GDPR: n tietojen suunnittelu-ja oletusarvoiset pseudonymisointiperiaatteet edellyttävät sekä suorien että epäsuorien tunnisteiden suojaamista, jotta henkilötiedot eivät ole ristiviittauskelpoisia (tai uudelleen tunnistettavissa) ”Mosaic-efektin” kautta ilman pääsyä ”lisätietoihin”, joita rekisterinpitäjä säilyttää erikseen. Koska pääsy erikseen säilytettäviin ”lisätietoihin” on tarpeen tunnistamista varten, rekisterinpitäjä voi rajoittaa tietojen osoittamista tietylle rekisteröidylle vain laillisten tarkoitusten tukemiseksi.
GDPR: n 25 artiklan 1 kohdassa nimetään pseudonymisointi ”asianmukaiseksi tekniseksi ja organisatoriseksi toimenpiteeksi” ja 25 artiklan 2 kohdassa vaaditaan rekisterinpitäjiä:
”…toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että oletuksena käsitellään vain henkilötietoja, jotka ovat tarpeen kunkin käsittelyn erityistarkoituksen kannalta. Tämä velvoite koskee kerättyjen henkilötietojen määrää, niiden käsittelyn laajuutta, säilytysaikaa ja saatavuutta. Tällaisilla toimenpiteillä on erityisesti varmistettava, että henkilötietoja ei oletusarvoisesti saateta rajoittamattoman määrän luonnollisia henkilöitä saataville ilman henkilön väliintuloa.”
GDPR: n artiklan 25 mukainen suunnittelun ja oletusarvoisen tietosuojan keskeinen ydin on sellaisen teknologian valvonnan täytäntöönpano, joka tukee asianmukaista käyttöä ja kykyä osoittaa, että voit itse asiassa pitää lupauksesi. Pseudonymisoinnin kaltaiset teknologiat, jotka valvovat tietosuojaa suunnittelun ja oletusarvoisesti, osoittavat yksittäisille rekisteröidyille, että sen lisäksi, että organisaatiot keksivät uusia tapoja saada lisäarvoa tiedoista, ne pyrkivät yhtä innovatiivisiin teknisiin lähestymistapoihin tietosuojan suojaamiseksi—erityisen herkkä ja ajankohtainen asia, kun otetaan huomioon tietoturvaloukkausten epidemia ympäri maailmaa.
elinvoimaiset ja kasvavat taloudellisen toiminnan alueet— ”luottamustalous”, biotieteiden tutkimus, personoitu lääketiede/koulutus, Esineiden Internet, tavaroiden ja palvelujen Personointi—perustuvat siihen, että yksilöt luottavat siihen, että heidän tietonsa ovat yksityisiä, suojattuja ja niitä käytetään vain tarkoituksenmukaisiin tarkoituksiin, jotka tuovat heille ja yhteiskunnalle mahdollisimman suuren arvon. Tätä luottamusta ei voida ylläpitää käyttämällä vanhentuneita lähestymistapoja tietosuojaan. PSEUDONYMISOINTI, sellaisena kuin se on äskettäin määritelty GDPR: ssä, on keino auttaa saavuttamaan Tietosuoja suunnitelmallisesti ja oletusarvoisesti, ansaita ja ylläpitää luottamusta ja palvella tehokkaammin yrityksiä, tutkijoita, terveydenhuollon tarjoajia ja kaikkia, jotka luottavat tietojen eheyteen.
GDPR: n mukainen pseudonymisointi ei ainoastaan mahdollista tietosuojaa kunnioittavaa tietojen käyttöä nykypäivän ”big data”-tiedon jakamisen ja yhdistämisen maailmassa, vaan se myös mahdollistaa sen, että rekisterinpitäjät ja käsittelijät voivat hyötyä GDPR: n mukaisesti oikein pseudonymisoiduista tiedoista.Oikein pseudonymisoidun tiedon hyödyt korostuvat useissa GDPR: n artikkeleissa, mukaan lukien:
- 6 artiklan 4 kohta suojana uuden tietojenkäsittelyn yhteensopivuuden varmistamiseksi.
- 25 artikla teknisenä ja organisatorisena toimenpiteenä, jolla helpotetaan tietojen minimointiperiaatteiden noudattamista ja tietosuojan noudattamista suunnitelmallisesti ja oletusarvoisesti.
- 32, 33 ja 34 artikla turvatoimenpiteenä, joka auttaa tekemään tietomurroista ”epätodennäköisiä, että ne aiheuttaisivat riskin luonnollisten henkilöiden oikeuksille ja vapauksille”, mikä vähentää tietomurroista aiheutuvaa vastuuta ja ilmoitusvelvollisuutta.
- 89 artiklan 1 kohta suojana yleisen edun mukaisessa arkistointitarkoituksessa, tieteellisissä tai historiallisissa tutkimustarkoituksissa tai tilastollisissa tarkoituksissa tapahtuvassa käsittelyssä; lisäksi 89 artiklan 1 kohdan mukaisesta pseudonymisoinnista saatavat edut lisäävät myös joustavuutta:
- 5 artiklan 1 kohdan b alakohta käyttötarkoituksen rajoittamisen osalta;
- 5 artiklan 1 kohdan e alakohta tallennusrajoitusten osalta ja
- 9 artiklan 2 kohdan j alakohta 9 artiklan 1 kohdan erityisten henkilötietoryhmien käsittelyä koskevan yleisen kiellon poistamiseksi.
- lisäksi asianmukaisesti pseudonymisoidut tiedot tunnustetaan 29 artiklan työryhmän lausunnossa 06/2014 olevan ” … osa arvioitaessa käsittelyn mahdollisia vaikutuksia rekisteröidyyn…tasapainottaminen rekisterinpitäjän hyväksi ” oikeutettujen etujen käsittelyn tukemiseksi GDPR: n 6 artiklan 1 kohdan f alakohdan mukaisena oikeusperustana. Edut henkilötietojen käsittelystä käyttämällä PSEUDONYMISOITUA oikeutettua etua oikeusperustana GDPR: n nojalla sisältävät, rajoituksetta:
- 17 artiklan 1 kohdan c alakohdan mukaisesti, jos rekisterinpitäjä osoittaa, että hänellä on ”pakottavat oikeutetut perusteet käsittelylle”, jota tukevat TEKNISET ja organisatoriset toimenpiteet eturistiriitatestin täyttämiseksi, hänellä on suurempi joustavuus oikeus tulla unohdetuksi-pyyntöjen noudattamisessa.
- 18 artiklan 1 kohdan d alakohdan mukaan rekisterinpitäjä voi joustavasti noudattaa vaatimuksia henkilötietojen käsittelyn rajoittamisesta, jos hän voi osoittaa, että hänellä on käytössä teknisiä ja organisatorisia toimenpiteitä, jotta rekisterinpitäjän oikeudet syrjäyttävät asianmukaisesti rekisteröidyn oikeudet, koska rekisteröityjen oikeudet on suojattu.
- 20 artiklan 1 kohdan mukaan oikeutetun edun käsittelyä käyttäviin rekisterinpitäjiin ei sovelleta siirrettävyysoikeutta, joka koskee ainoastaan suostumukseen perustuvaa käsittelyä.
- 21 artiklan 1 kohdan mukaan oikeutetun edun käsittelyä käyttävä rekisterinpitäjä voi osoittaa, että hänellä on käytössään riittävät tekniset ja organisatoriset toimenpiteet, jotta rekisterinpitäjän oikeudet syrjäyttävät asianmukaisesti rekisteröidyn oikeudet, koska rekisteröityjen oikeudet on suojattu.Rekisteröidyllä on kuitenkin aina 21 artiklan 3 kohdan nojalla oikeus olla saamatta suoramarkkinointitietoa tällaisen käsittelyn seurauksena.