Pseudonymisering

valet av vilka datafält som ska pseudonymiseras är delvis subjektivt. Mindre selektiva fält, som födelsedatum eller Postnummer ingår ofta också eftersom de vanligtvis är tillgängliga från andra källor och därför gör en post lättare att identifiera. Pseudonymisering av dessa mindre identifierande fält tar bort det mesta av deras analytiska värde och åtföljs därför normalt av införandet av nya härledda och mindre identifierande former, såsom födelseår eller en större postnummerregion.

datafält som är mindre identifierande, till exempel Datum för närvaro, är vanligtvis inte pseudonymiserade. Det är viktigt att inse att detta beror på att för mycket statistiskt verktyg går förlorat i det, inte för att data inte kan identifieras. Till exempel, med tanke på förkunskaper om några närvarodatum är det lätt att identifiera någons data i en pseudonymiserad dataset genom att bara välja de personer med det datummönstret. Detta är ett exempel på en inferensattack.

svagheten i pseudonymiserade data före GDPR till inferensattacker förbises ofta. Ett känt exempel är AOL-sökdataskandalen. AOL-exemplet på obehörig återidentifiering krävde inte tillgång till separat bevarad ”ytterligare information” som var under kontroll av datakontrollanten, vilket nu krävs för GDPR-kompatibel pseudonymisering. Se ny definition av pseudonymisering under GDPR nedan.

att skydda statistiskt användbara pseudonymiserade data från återidentifiering kräver:

  1. en sund informationssäkerhetsbas
  2. kontrollerar risken för att analytiker, forskare eller andra dataarbetare orsakar ett integritetsbrott

pseudonymen tillåter spårning av data till dess ursprung, vilket skiljer pseudonymisering från anonymisering, där alla personrelaterade data som kan tillåta backtracking har rensats. Pseudonymisering är ett problem i till exempel patientrelaterade data som måste överföras säkert mellan kliniska centra.

tillämpningen av pseudonymisering på e-hälsa avser att bevara patientens integritet och datasekretess. Det möjliggör primär användning av journaler av auktoriserade vårdgivare och integritet som bevarar sekundär användning av forskare. I USA ger HIPAA riktlinjer för hur vårddata måste hanteras och dataavi-identifiering eller pseudonymisering är ett sätt att förenkla HIPAA-efterlevnad. Vanlig pseudonymisering för integritetsskydd når emellertid ofta sina gränser när genetiska data är inblandade (se även genetisk integritet). På grund av identifieringen av genetiska data är depersonalisering ofta inte tillräcklig för att dölja motsvarande person. Potentiella lösningar är kombinationen av pseudonymisering med fragmentering och kryptering.

ett exempel på tillämpning av pseudonymiseringsproceduren är att skapa dataset för avidentifieringsforskning genom att ersätta identifierande ord med ord från samma kategori (t.ex. ersätta ett namn med ett slumpmässigt namn från namnordlistan), men i det här fallet är det i allmänhet inte möjligt att spåra data tillbaka till dess ursprung.

ny Definition för pseudonymisering under GDPREdit

från och med den 25 maj 2018 definierar EU: s allmänna dataskyddsförordning (GDPR) pseudonymisering för första gången på EU-nivå i artikel 4.5. Enligt artikel 4.5 definitionskrav är data pseudonymiserade om de inte kan hänföras till en viss registrerad utan användning av separat bevarad ”ytterligare information.”Pseudonymiserade data förkroppsligar den senaste tekniken inom dataskydd genom Design och som standard eftersom det kräver skydd av både direkta och indirekta identifierare (inte bara direkt). GDPR dataskydd genom Design och som Standardprinciper som ingår i pseudonymisering kräver skydd av både direkta och indirekta identifierare så att personuppgifter inte kan refereras (eller återidentifieras) via ”Mosaikeffekten” utan tillgång till ”ytterligare information” som hålls separat av den registeransvarige. Eftersom åtkomst till separat bevarad ”ytterligare information” krävs för återidentifiering, kan tilldelningen av data till en viss registrerad begränsas av den registeransvarige för att endast stödja lagliga ändamål.

GDPR artikel 25(1) identifierar pseudonymisering som en ”lämplig teknisk och organisatorisk åtgärd” och artikel 25(2) kräver att personuppgiftsansvariga ska:

”…genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att, som standard, endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Denna skyldighet gäller mängden personuppgifter som samlas in, omfattningen av deras behandling, lagringstiden och deras tillgänglighet. I synnerhet ska sådana åtgärder säkerställa att personuppgifter som standard inte görs tillgängliga utan den enskildes ingripande för ett obestämt antal fysiska personer.”

en central kärna av dataskydd genom Design och som standard enligt GDPR artikel 25 är verkställighet av teknikkontroller som stöder lämplig användning och förmågan att visa att du faktiskt kan hålla dina löften. Tekniker som pseudonymisering som upprätthåller dataskydd genom Design och som standard visar enskilda registrerade att förutom att komma på nya sätt att härleda värde från data, bedriver organisationer lika innovativa tekniska metoder för att skydda datasekretess—en särskilt känslig och aktuell fråga med tanke på epidemin av datasäkerhetsbrott runt om i världen.

levande och växande områden av ekonomisk verksamhet – ”trust economy”, biovetenskaplig forskning, personlig medicin/utbildning, sakernas Internet, personalisering av varor och tjänster—bygger på individer som litar på att deras data är privata, skyddade och används endast för lämpliga ändamål som ger dem och samhället maximalt värde. Detta förtroende kan inte upprätthållas med hjälp av föråldrade metoder för dataskydd. Pseudonymisering, som nyligen definierats i GDPR, är ett sätt att hjälpa till att uppnå dataskydd genom Design och som standard att tjäna och upprätthålla förtroende och mer effektivt tjäna företag, forskare, vårdgivare och alla som förlitar sig på dataens integritet.

GDPR-kompatibel pseudonymisering möjliggör inte bara ökad integritetsrespekt användning av data i dagens ”big data”-värld av datadelning och kombination, men det gör det också möjligt för datakontrollanter och processorer att skörda uttryckliga fördelar enligt GDPR för korrekt pseudonymiserade data.Fördelarna med korrekt pseudonymiserad data framhävs i flera GDPR-artiklar, inklusive:

  • artikel 6.4 som en skyddsåtgärd för att säkerställa att den nya databehandlingen är förenlig.
  • artikel 25 som en teknisk och organisatorisk åtgärd för att hjälpa till att upprätthålla principer för uppgiftsminimering och efterlevnad av dataskydd genom Design och Standardförpliktelser.
  • artiklarna 32, 33 och 34 som en säkerhetsåtgärd som bidrar till att göra dataöverträdelser ”osannolikt att leda till en risk för fysiska personers rättigheter och friheter”, vilket minskar ansvaret och anmälningsskyldigheten för dataöverträdelser.
  • artikel 89.1 som skydd i samband med behandling för arkiveringsändamål i allmänhetens intresse; vetenskapliga eller historiska forskningsändamål; eller statistiska ändamål; dessutom ger fördelarna med pseudonymisering enligt artikel 89.1 också större flexibilitet enligt:
    1. artikel 5.1 b med avseende på ändamålsbegränsning;
    2. artikel 5.1 e med avseende på lagringsbegränsning; och
    3. artikel 9.2 j med avseende på att övervinna det allmänna förbudet mot behandling av artikel 9.1 särskilda kategorier av personuppgifter.
  • dessutom erkänns korrekt pseudonymiserade data i artikel 29 arbetsgruppens yttrande 06/2014 som att spela ”…en roll när det gäller utvärderingen av behandlingens potentiella inverkan på den registrerade…tippa balansen till förmån för den registeransvarige” för att stödja behandling av berättigat intresse som en rättslig grund enligt artikel GDPR 6(1)(f). Fördelar med att behandla personuppgifter med hjälp av pseudonymiserat aktiverat legitimt intresse som rättslig grund enligt GDPR inkluderar, utan begränsning:
    1. enligt artikel 17(1)(c), om en datakontrollant visar att de ”har tvingande legitima skäl för behandling” som stöds av tekniska och organisatoriska åtgärder för att uppfylla intresseavvägningstestet, har de större flexibilitet när det gäller att uppfylla begäran om rätt att bli glömd.
    2. enligt artikel 18.1 d har en personuppgiftsansvarig flexibilitet när det gäller att uppfylla krav på att begränsa behandlingen av personuppgifter om de kan visa att de har tekniska och organisatoriska åtgärder på plats så att den personuppgiftsansvariges rättigheter på ett korrekt sätt åsidosätter den registrerades rättigheter eftersom de registrerades rättigheter är skyddade.
    3. enligt artikel 20.1 är personuppgiftsansvariga som använder behandling av berättigat intresse inte föremål för rätten till portabilitet, vilket endast gäller för samtyckesbaserad behandling.
    4. enligt artikel 21.1 kan en personuppgiftsansvarig som använder behandling av berättigat intresse kunna visa att de har adekvata tekniska och organisatoriska åtgärder på plats så att den personuppgiftsansvariges rättigheter på ett korrekt sätt åsidosätter den registrerades rättigheter eftersom de registrerades rättigheter är skyddade.emellertid har registrerade alltid rätt enligt artikel 21.3 att inte få direkt marknadsföring som ett resultat av sådan behandling.



+