Pszeudonimizálás

részben szubjektív annak megválasztása, hogy mely adatmezőket kell pszeudonimizálni. A kevésbé szelektív mezők, például a születési dátum vagy az irányítószám gyakran szintén szerepelnek, mivel általában más forrásokból érhetők el, ezért a rekord könnyebben azonosítható. Ezeknek a kevésbé azonosító mezőknek az álnevesítése eltávolítja analitikai értékük nagy részét, ezért általában új származtatott és kevésbé azonosító formák, például születési év vagy nagyobb irányítószám-régió bevezetésével jár.

a kevésbé azonosító adatmezőket, például a részvétel dátumát, általában nem álnevesítik. Fontos felismerni, hogy ez azért van, mert túl sok statisztikai hasznosság elvész ezzel, nem azért, mert az adatok nem azonosíthatók. Például, néhány látogatási dátum előzetes ismerete alapján könnyű azonosítani valaki adatait egy álnevesített adatkészletben, ha csak azokat az embereket választja ki, akiknek ez a dátummintája van. Ez egy példa egy következtetési támadásra.

a GDPR előtti álnevesített adatok gyengeségét a támadások következtetésére általában figyelmen kívül hagyják. Híres példa az AOL Keresési adatbotrány. Az AOL jogosulatlan újbóli azonosításának példája nem tette szükségessé az adatkezelő ellenőrzése alatt álló, külön tárolt “kiegészítő információkhoz” való hozzáférést, amint az a GDPR-nak megfelelő Álnevesítéshez szükséges. Lásd alább az Álnevesítés új meghatározását a GDPR alapján.

a statisztikailag hasznos álnevesített adatok újbóli azonosításától való védelme megköveteli:

1. megbízható információbiztonsági alap
2. az elemzők, kutatók vagy más adatfeldolgozók adatvédelmi megsértésének kockázatának ellenőrzése

az álnév lehetővé teszi az adatok eredetének nyomon követését, ami megkülönbözteti az álnevesítést az anonimizálástól, ahol minden olyan személyhez kapcsolódó adatot megtisztítottak, amely lehetővé teheti a visszalépést. Az álnevesítés például a betegekkel kapcsolatos adatok kérdése, amelyet biztonságosan tovább kell adni a klinikai központok között.

az álnevesítés alkalmazása az e-egészségügyben a beteg magánéletének és adatainak titkosságát kívánja megőrizni. Lehetővé teszi az orvosi nyilvántartások elsődleges felhasználását az engedélyezett egészségügyi szolgáltatók által, valamint a magánélet megőrzését a kutatók másodlagos felhasználása mellett. Az Egyesült Államokban a HIPAA iránymutatásokat nyújt az egészségügyi adatok kezelésének módjáról, és az adatok azonosításának vagy álnevesítésének egyik módja a HIPAA-megfelelés egyszerűsítése. A magánélet megőrzésének egyszerű álnevesítése azonban gyakran eléri korlátait, amikor genetikai adatokról van szó (lásd még genetikai Adatvédelem). A genetikai adatok azonosító jellege miatt a deperszonalizáció gyakran nem elegendő a megfelelő személy elrejtéséhez. A lehetséges megoldások a pszeudonimizálás és a fragmentáció és a titkosítás kombinációja.

a pszeudonimizálási eljárás alkalmazásának egyik példája az azonosítás nélküli kutatáshoz szükséges adatkészletek létrehozása az azonosító szavak azonos kategóriába tartozó szavakkal történő helyettesítésével (például egy név véletlenszerű névvel történő helyettesítése a névszótárból), azonban ebben az esetben általában nem lehetséges az adatok eredete.

az Álnevesítés új meghatározása a GDPREdit alatt

az EU általános adatvédelmi rendelete (GDPR) május 25-től 2018-ig hatályos, az 4 cikk(5) bekezdésében az EU szintjén először határozza meg az álnevesítést. A 4.cikk(5) bekezdésének meghatározási követelményei szerint az adatok álnevesítettek, ha külön megőrzött “kiegészítő információk” felhasználása nélkül nem tulajdoníthatók egy adott érintettnek.”Az álnevesített adatok a tervezés és alapértelmezés szerint az Adatvédelem legkorszerűbb szintjét testesítik meg, mivel mind a közvetlen, mind a közvetett azonosítók védelmét igénylik (nem csak közvetlen). A GDPR beépített adatvédelem és az álnevesítésben megtestesülő alapértelmezett elvek megkövetelik mind a közvetlen, mind a közvetett azonosítók védelmét, hogy a személyes adatok ne legyenek kereszthivatkozhatók (vagy újra azonosíthatók) a “Mozaik hatás” révén az adatkezelő által külön tárolt “kiegészítő információkhoz” való hozzáférés nélkül. Mivel a külön tárolt “kiegészítő információkhoz” való hozzáférés az újbóli azonosításhoz szükséges, az adatok egy adott érintetthez való hozzárendelését az adatkezelő csak törvényes célok támogatására korlátozhatja.

a GDPR 25.cikkének(1) bekezdése az álnevesítést “megfelelő technikai és szervezési intézkedésként” határozza meg, és a 25. cikk(2) bekezdése előírja az adatkezelők számára, hogy:

“…megfelelő technikai és szervezési intézkedéseket hajtsanak végre annak biztosítására, hogy alapértelmezés szerint csak olyan személyes adatok kerüljenek feldolgozásra, amelyek az adatkezelés egyes konkrét céljaihoz szükségesek. Ez a kötelezettség az összegyűjtött Személyes adatok mennyiségére, feldolgozásuk mértékére, tárolásuk időtartamára és hozzáférhetőségükre vonatkozik. Ezeknek az intézkedéseknek különösen azt kell biztosítaniuk, hogy a személyes adatokat alapértelmezés szerint ne tegyék hozzáférhetővé az egyén beavatkozása nélkül határozatlan számú természetes személy számára.”

a GDPR 25.cikke értelmében a beépített és alapértelmezett adatvédelem központi eleme a megfelelő felhasználást támogató technológiai ellenőrzések végrehajtása, valamint annak bizonyítása, hogy valóban be tudja tartani ígéreteit. Az olyan technológiák, mint a Pszeudonimizálás, amelyek az adatvédelmet szándékosan és alapértelmezés szerint érvényesítik, megmutatják az egyes érintetteknek, hogy az adatokból származó érték új módszereinek kidolgozása mellett a szervezetek ugyanolyan innovatív technikai megközelítéseket követnek az adatvédelem védelme érdekében—ez különösen érzékeny és aktuális kérdés, tekintettel az adatbiztonság megsértésének világszerte elterjedt járványára.

a gazdasági tevékenység élénk és növekvő területei—a” bizalmi gazdaság”, az élettudományi kutatás, a személyre szabott orvoslás/oktatás, a tárgyak internete, az áruk és szolgáltatások személyre szabása—azon alapulnak, hogy az egyének bíznak abban, hogy adataik magánjellegűek, védettek és csak megfelelő célokra használják fel őket és a társadalmat.maximális érték. Ez a bizalom nem tartható fenn elavult adatvédelmi megközelítésekkel. A GDPR által újonnan definiált álnevesítés egy eszköz arra, hogy elősegítse az Adatvédelem kialakítását és alapértelmezés szerint a bizalom elnyerését és fenntartását, valamint a vállalkozások, kutatók, egészségügyi szolgáltatók és mindenki hatékonyabb kiszolgálását, aki az adatok integritására támaszkodik.

a GDPR-nak megfelelő álnevesítés nemcsak az adatok nagyobb mértékű, a magánélet tiszteletben tartását tiszteletben tartó felhasználását teszi lehetővé a mai “nagy adatok” világában, az adatmegosztásban és-kombinálásban, hanem azt is lehetővé teszi, hogy az adatkezelők és-feldolgozók a GDPR értelmében kifejezett előnyöket élvezzenek a helyesen álnevesített adatok számára.A megfelelően álnevesített adatok előnyeit több GDPR cikk emeli ki, beleértve:

• a 6. cikk (4) bekezdése az új adatfeldolgozás összeegyeztethetőségének biztosítását szolgáló biztosítékként.
• a 25.cikk olyan technikai és szervezési intézkedés, amely elősegíti az adatminimalizálási elvek érvényesítését, valamint a beépített és alapértelmezett adatvédelmi kötelezettségeknek való megfelelést.
• a 32., 33. és 34. cikk olyan biztonsági intézkedésként, amely elősegíti, hogy az adatvédelmi incidensek “valószínűleg ne jelentsenek kockázatot a természetes személyek jogaira és szabadságaira”, ezáltal csökkentve az Adatvédelmi incidensekkel kapcsolatos felelősséget és értesítési kötelezettségeket.
• a 89. cikk(1) bekezdése a közérdekű archiválás céljából, tudományos vagy történelmi kutatási célból vagy statisztikai célból végzett adatkezelés biztosítékaként; továbbá a 89. cikk(1) bekezdése szerinti álnevesítés előnyei nagyobb rugalmasságot biztosítanak az alábbiak szerint:
  1. az 5. cikk(1) bekezdésének b) pontja a célhoz kötöttség tekintetében;
  2. az 5.cikk(1) bekezdésének e) pontja a tárolás korlátozása tekintetében; és
  3. a 9. cikk(2) bekezdésének j) pontja a személyes adatok különleges kategóriái kezelésére vonatkozó általános tilalom megszüntetése tekintetében.
• ezenkívül a megfelelően álnevesített adatokat a 29. cikk 06/2014. számú Munkacsoport véleménye ” … szerepet játszik az adatkezelés érintettre gyakorolt lehetséges hatásának értékelésében…az egyenleg átadása az adatkezelő javára ” a jogos érdekek feldolgozásának támogatása, mint a GDPR 6.cikk(1) bekezdésének f) pontja szerinti jogalap. A személyes adatok álnevesített jogos érdek alapján történő feldolgozásából származó előnyök a GDPR szerinti jogalapként korlátozás nélkül magukban foglalják:
  1. a 17.cikk(1) bekezdésének c) pontja szerint, ha az adatkezelő bizonyítja, hogy “elsőbbséget élvező jogos indokokkal rendelkezik az adatkezelésre”, technikai és szervezési intézkedésekkel alátámasztva, hogy megfeleljen az érdekmérlegelési tesztnek, nagyobb rugalmassággal rendelkezik az elfeledtetéshez való jog iránti kérelmek teljesítésében.
  2. a 18.cikk(1) bekezdésének d) pontja értelmében az adatkezelő rugalmasan teljesítheti a személyes adatok feldolgozásának korlátozására vonatkozó igényeket, ha bizonyítani tudja, hogy technikai és szervezési intézkedéseket vezetett be annak érdekében, hogy az adatkezelő jogai megfelelően felülbírálják az érintett jogait, mivel az érintettek jogai védettek.
  3. a 20.cikk(1) bekezdése értelmében a jogos érdekű feldolgozást alkalmazó Adatkezelőkre nem vonatkozik a hordozhatóság joga, amely csak a hozzájáruláson alapuló feldolgozásra vonatkozik.
  4. a 21.cikk(1) bekezdése értelmében a jogos érdekű feldolgozást alkalmazó adatkezelő bizonyítani tudja, hogy megfelelő technikai és szervezési intézkedésekkel rendelkezik annak érdekében, hogy az adatkezelő jogai megfelelően felülbírálják az érintett jogait, mivel az érintettek jogai védettek; az érintetteknek azonban a 21. cikk(3) bekezdése szerint mindig joguk van arra, hogy az ilyen feldolgozás eredményeként ne kapjanak közvetlen marketinget.