Псевдонимизация - это процедура управления данными и деидентификации, с помощью которой информация, позволяющая установить личность, поля в записи data заменяются одним или несколькими искусственными идентификаторами или псевдонимами. Единый псевдоним для каждого заменяемого поля или набора замененных полей делает запись данных менее идентифицируемой, оставаясь при этом подходящей для анализа данных и обработки данных
Псевдонимизация (или псевдонимизация) может быть одним из способов соблюдения с новым Общим регламентом по защите данных Европейского Союза, требующим безопасного хранения личных данных. Псевдонимизированные данные могут быть восстановлены в исходное состояние с добавлением информации, которая затем позволяет повторно идентифицировать людей, в то время как анонимные данные никогда не могут быть восстановлены в исходное состояние.
Выбор того, какие поля данных должны быть псевдонимизированы, частично является субъективным. Менее избирательные поля, такие как Дата рождения или Почтовый индекс, также часто включаются, поскольку они обычно доступны из других источников и, следовательно, упрощают идентификацию записи. Псевдонимизация этих менее идентифицирующих полей удаляет большую часть их аналитического значения и поэтому обычно сопровождается введением новых производных и менее идентифицирующих форм, таких как год рождения или более крупный почтовый индекс региона.
Поля данных, которые менее идентифицируют, такие как дата посещения, обычно не псевдонимизируются. Важно понимать, что это происходит потому, что при этом теряется слишком много статистической полезности, а не потому, что данные не могут быть идентифицированы. Например, имея предварительную информацию о нескольких датах посещаемости, легко идентифицировать чьи-либо данные в псевдонимизированном наборе данных, выбрав только тех людей с этим шаблоном дат. Это пример атаки на основе логического вывода ..
Слабость псевдонимизированных данных до GDPR по отношению к атакам на основе логического вывода обычно игнорируется. Известный пример - скандал с поисковыми данными AOL. В примере AOL с несанкционированной повторной идентификацией не требовался доступ к отдельно хранимой «дополнительной информации», которая находилась под контролем контроллера данных, как теперь требуется для псевдонимизации в соответствии с GDPR. См. Ниже новое определение псевдонимизации согласно GDPR.
Защита статистически полезных псевдонимизированных данных от повторной идентификации требует:
Псевдоним позволяет отслеживать данные до их источника, что отличает псевдонимизацию от анонимизации, когда все личные данные, которые могут позволить обратное отслеживание, были удалены. Псевдонимизация - это проблема, например, в данных о пациентах, которые необходимо безопасно передавать между клиническими центрами.
Применение псевдонимизации в электронном здравоохранении направлено на сохранение конфиденциальности пациента и конфиденциальности данных. Это позволяет использовать медицинские записи в первую очередь уполномоченными поставщиками медицинских услуг и с сохранением конфиденциальности вторичного использования исследователями. В США HIPAA содержит рекомендации по обработке данных здравоохранения, а деидентификация или псевдонимизация данных - один из способов упростить соблюдение HIPAA. Однако простая псевдонимизация для сохранения конфиденциальности часто достигает своих пределов, когда задействованы генетические данные (см. Также генетическая конфиденциальность ). Из-за идентифицирующего характера генетических данных обезличивания часто недостаточно, чтобы скрыть соответствующее лицо. Возможные решения - это сочетание псевдонимизации с фрагментацией и шифрованием.
Примером применения процедуры псевдонимизации является создание наборов данных для исследования деидентификации путем замены идентифицирующих слов на слова из той же категории (например, замена имени случайным именем из словаря имен), однако в этом случае, как правило, невозможно отследить данные до их источников.
Действующий с 25 мая 2018 года Общий регламент ЕС по защите данных (GDPR) впервые определяет псевдонимизацию на уровне ЕС в статье 4 ( 5). В соответствии с требованиями к определению статьи 4 (5) данные считаются псевдонимными, если они не могут быть отнесены к конкретному субъекту данных без использования отдельно хранимой «дополнительной информации». Псевдонимизированные данные олицетворяют современные достижения в области защиты данных по дизайну и по умолчанию, поскольку они требуют защиты как прямых, так и косвенных идентификаторов (не только прямых). Принципы GDPR Data Protection by Design и по умолчанию, воплощенные в псевдонимизации, требуют защиты как прямых, так и косвенных идентификаторов. и косвенные идентификаторы, чтобы на личные данные нельзя было ссылаться (или повторно идентифицировать) через Эффект мозаики без доступа к «дополнительной информации», которая хранится отдельно контроллером. Поскольку доступ к отдельно хранимой «дополнительной информации» требуется для повторного - идентификация, отнесение данных к конкретному субъекту данных может быть ограничено контролером только для поддержки законных целей.
Статья 25 (1) GDPR определяет псевдонимизацию как «соответствующую техническую и организационную меру», а статья 25 ( 2) требует от контроллеров:
«… принять соответствующие технические и организационные меры для обеспечения того, чтобы по умолчанию только персональные данные необходимые для каждой конкретной цели обработки. Это обязательство распространяется на объем собранных персональных данных, объем их обработки, срок их хранения и их доступность. В частности, такие меры должны гарантировать, что по умолчанию личные данные не станут доступными без вмешательства отдельного лица для неопределенного числа физических лиц ».
Центральным ядром защиты данных намеренно и по умолчанию в соответствии со статьей 25 GDPR является обеспечение контроля за технологиями, которые поддерживают соответствующее использование и способность продемонстрировать, что вы действительно можете сдержать свои обещания. Такие технологии, как псевдонимизация, которые обеспечивают защиту данных по дизайну и по умолчанию, показывают отдельным субъектам данных, что помимо разработки новых способов извлечения ценности из данных, организации применяют не менее инновационные технические подходы к защите конфиденциальности данных - это особенно деликатная и актуальная проблема. эпидемия нарушений безопасности данных по всему миру.
Яркие и растущие области экономической деятельности - «экономика доверия», исследования в области наук о жизни, персонализированная медицина / образование, Интернет вещей, персонализация товаров и услуг - основаны на уверенности людей в том, что их данные являются конфиденциальными., охраняются и используются только для соответствующих целей, которые приносят им и обществу максимальную ценность. Это доверие невозможно сохранить, используя устаревшие подходы к защите данных. Псевдонимизация, как новое определение в GDPR, - это средство, помогающее достичь защиты данных по дизайну и по умолчанию для завоевания и поддержания доверия и более эффективного обслуживания предприятий, исследователей, поставщиков медицинских услуг и всех, кто полагается на целостность данных.
Псевдонимизация, соответствующая GDPR, не только обеспечивает более эффективное использование данных с соблюдением конфиденциальности в сегодняшнем мире «больших данных» совместного использования и объединения данных, но также позволяет контроллерам и обработчикам данных получать явные преимущества в соответствии с GDPR для правильно псевдонимных Преимущества должным образом псевдонимизированных данных выделены в нескольких статьях GDPR, в том числе: