Privaatsuskaitse%20tehnoloogiate%20kontseptsioon%20%281%29.pdf

Type: Document | Status: ready
← All sources

ID D-16-175 Avalik 5.2.4 Privaatsuskaitse tehnoloogiate pilootprojektid tervishoiusektoris Hollandis on tervishoiusektoris läbi viidud mitmeid pilootprojekte. Personaalmeditsiini projekti CARRIER eesmärk on isiku südame isheemiatõve ennetamine, prognoosimine ja haigestumisriski hindamine isiku elustiili ning meditsiiniliste ja muude isiklike andmete põhjal. Mitme koostööpartneri, sealhulgas Hollandi ülikoolide, statistikaameti, kliiniliste asutuste andmete privaatne, eetiline ja seaduslik teisene kasutamine nõuab tugevat juriidilist ja tehnilist alust. Projektis CARRIER plaanitakse andmelinkimiseks ja masinõppeks kasutada turvalist ühisarvutust, homomorfset krüptograafiat ja liitõpet [ 8]. Statistikaamet CBS, Zyderlandi haigla, tervisekindlustusfirma CZ ning Hollandi rakendusuuringute orga- nisatsioon TNO viisid koos läbi personaalmeditsiini pilootprojekti, mille eesmärgiks oli hinnata soole ärri- tussündroomi (IBS) patsientidele mõeldud telefonirakenduse kasulikkust. Koostatud hinnangu põhjal saab otsustada, kas kindlustusfirma peaks selle rakenduse kasutamisega seotud kulud patsiendile hüvitama. Projekti käigus kasutati privaatset hulkade ühisosa meetodit (alamosa turvalisest ühisarvutusest), homo- morfset krüpteerimist ja turvalist ühisarvutust, et ühendada CBS, CZ ja Zyderlandi haigla andmed ning analüüsida neid, kaitstes samaaegselt nende privaatsust. Tulemuste ja järeldustena tõid asutused välja palju juriidilisi raskusi. Andmete käsitluses on oluline kooskõlastus üldiste andmekaitsemäärustega nagu IKÜM, aga ka spetsiifilisemate meditsiiniandmetega seotud seadustega. Lisaks on oluline omada korrekt- seid koostöölepinguid ning küsida kirjalikult luba uuringus osalevate inimestelt nende andmete teiseseks kasutamiseks. Funktsionaalse poole pealt rõhutati järgmiste aspektide olulisust: hea kvaliteediga meta- andmete ja sünteetiliste andmete olemasolu, täpsed linkimisidentifikaatorid erinevates andmebaasides ning statistiline paljastustõrje oht teiste lahenduste puhul [ 179]. 5.2.5 Energiatarbimise prognoosimine ja tasakaalustamine Elektrivõrguoperaatorid peavad oskama prognoosida ja tasakaalustada elektrivõrgu nõudlust ja tootlust. Jätkusuutliku energia lokaalne tootmine on teinud selle keeruliseks, mistõttu Hollandi elektrivõrguope- raator Stedin otsib võimalusi privaatsust kaitsvalt mõõta kasutajate energiatarbimist ja -tootlust ning prognoosida nende põhjal energiavajadusi ja ennetada võrgu ülekoormust. Selleks viib Stedin koos et- tevõtetega Technolution Spark ja Roseman Labs läbi pilootprojekti, milles otsitakse võimalusi rakendada turvalist ühisarvutust majapidamiste energiatarbmise analüüsimiseks ilma klientide privaatsust riivama- ta. Juba valminud prototüüp agregeeris turvalise ühisarvutuse abil kuuest kaugarvestist kogutud andmed ning kuvas seejärel tulemused võrguoperaatori Stedin innovatsioonilaboris asuvale koondpaneelile [ 180]. 5.3 Jaapan 5.3.1 Privaatsuskaitse tehnoloogiate arendajate liit 2022. aasta augustis pandi Jaapanis alus privaatsuskaitse tehnoloogiate vabatahtlike ühendusele Privacy Tech Association73. Ühenduse eesmärk on juurutada privaatsuskaitse tehnoloogiate kasutamist ettevõte- tes, mis töötavad andmetega. Muuhulgas uuritakse anonüümimist, turvalist ühisarvutust, diferentsiaalpri- vaatsust, andmesünteesi. Ühendusega on liitunud mitmed tehnoloogia-, juura- ja andmeteaduseksperdid akadeemilistest asutustest ja erasektorist. 5.3.2 Andmekaitseõiguse ja privaatsuskaitse tehnoloogiate alane teavitustöö Jaapani õigusteaduse ja infosüsteemide instituut JILIS on aastal 2016 asutatud organisatsioon, mis kes- kendub teadustegevusele ning infosüsteemidega seotud uutele poliitikatele ja seadustele. Muuhulgas avaldab instituut andmekaitsega seotud soovitusi ja arvamusi, tuues esile puudujääke või ebatäpsusi andmete hoiustamise ja jagamisega seotud dokumentides, sh infosüsteemide spetsifikatsioonides, ra- portites, seadustes ja seaduseelnõudes. Tihti rõhutavad nad vajadust eristada selgelt anonüümimist, 73https://privacytech-assoc.org (viimati külastatud 02.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 102 / 138 ID D-16-175 Avalik pseudonüümimist ja krüpteeritud andmeid ning toovad esile iga tehnikaga seotud puudusi ja võimalu- si74. 5.4 Kanada 5.4.1 Kanada on lõimitud privaatsuse kodumaa Lõimitud privaatsuse ( Privacy-by-Design) konseptsioon arendati välja Kanadas 1990-ndatel tollase On- tario Informatsiooni- ja privaatsusvoliniku Ann Cavoukiani eestvedamisel. Lõimprivaatsetes süsteemides arvestatakse privaatsusnõuetega süsteemi kogu elutsükli jooksul [ 181]. Ann Cavoukian oli Ontario informatsiooni- ja privaatsusvolinik aastatel 1997-2014. Tema eestvedamisel viidi läbi mitmeid uuringuid ja toodi esile privaatsusriive probleeme suurprojektides. Aastal 2007 teatas Toronto transpordiamet TTC kavatsusest laiendada ühistranspordisüsteemide videovalvesüsteemi. Pri- vacy International avaldas muret vastava lahenduse privaatsuse osas ning kahtles lahenduse kasulikku- ses. Ann Cavoukiani eestvedamisel koostati raport, milles toodi esile potentsiaalseid murekohti ja esitleti ka võimalusi privaatsuskaitse tehnoloogiate kasutamiseks videovalve analüüsimiseks. Täpsemalt pakuti välja lahendus, kus videosse jääv isikutuvastusteave krüpteeritakse ning dekrüpteerimiseks vajalikud võtmed oleks ainult selleks volitatud osapooltel [ 182]. 5.4.2 Andmekaitseagentuuri tugev roll Kanadas andmekaitse alast nõu ja informatsiooni jagav amet Office of the Privacy Commissioner of Ca- nada avaldas 2017 . aasta ülevaatliku raporti privaatsuskaitse tehnoloogiatest [183]. Raportis klassifitsee- ritakse tehnoloogiad nende kasutusviiside ja -võimaluste järgi ning antakse lühike ülevaade erinevate tehnoloogiate enamlevinud kasutusjuhtudest ja tuntumatest juurutajatest. Lisaks arutatakse, miks pole PETid rohkem levinud ja kuidas neid populariseerida. 5.4.3 Tugev kontroll murujuuretasandil 2017 . aastal avaldas Alphabeti tütarfirma Sidewalk Labs plaani arendada Torontos peaaegu viie hektari suurune Quayside linnaosa, kus töötataks välja ja testitaks uusi andmepõhiseid linnaplaneerimise tehno- loogiaid. Kriitikud leidsid, et Google emafirmale Alphabetile kuuluva Sidewalk Labsi juurutatud süsteem loob liiga palju privaatsusriske. Projekt leidis palju meediakajastust ja hakkas andmete kogumise hirmude valguses venima. Projekt tühistati 2020. aastal. Sidewalk Labs tõi tühistamise põhjusena välja koroona- pandeemiaga seotud majandusliku ebakindluse [ 184]. 5.4.4 Sünteetilised teisikud terviseandmetest Kanada ettevõte Replica Analytics on välja arendanud tarkvara meditsiiniandmete sünteesimise teenuse pakkumiseks. Sünteesitud andmete genereerimiseks kasutatakse masinõppe ja tehisnärvivõrkude mee- todeid. Lisaks andmete genereerimisele väljastatakse raport, mis kirjeldab sünteesitud andmete kasu- likkust - näiteks seda, kui hästi säilivad andmete statistilised omadused nagu tunnustevaheline korrelat- sioon. Teenuse abil saavad sünteesitud andmeid kasutada ametnikud, teadlased, analüütikud, kes muidu tund- likele andmetele ligi ei pääseks, muuhulgas kasutati tarkvara Ontario COVID-19 patsientide andmeba- asi sünteetilise versiooni loomiseks. Tehnoloogiat on kasutatud ka jämesoolevähi andmestiku sünteesi- miseks, sealjuures viidi tehnoloogia valideerimiseks läbi samu statistilisi analüüse nii sünteetilise kui päri- sandmestiku peal ning võrreldi nende tulemusi. Uuring näitas, et analüüsid annavad mõlema andmestiku peal sarnaseid tulemusi. Replica Analytics uurib lisaks sünteetiliste andmete kasulikkuse tunnusomadus- tele ka nende privaatsusriske, lisaks viib ettevõte läbi seminare ja on avaldanud raamatuid sünteetiliste 74https://www.jilis.org/proposal (viimati külastatud 02.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 103 / 138 ID D-16-175 Avalik andmete genereerimisest75. 5.4.5 Privaatsuskaitse tehnoloogiad riiklikus statistikas Kanada statistikaamet Statistics Canada on kasutanud kontseptsiooni tõenduses privaatset hulkade ühis- osa meetodit (alamosa turvalisest ühisarvutusest) koos turvalise ühisarvutusega. Testitud lahendus või- maldaks hinnata kolmanda osapoole andmebaasi kattuvust populatsiooniga või statistikaagentuuri and- mebaasiga, jagamata andmeid. Andmete kattuvus annab aimu, kas andmete ühendamine edasisteks ana- lüüsideks tasuks ennast ära. Kanada statistikaamet testis masinõppe mudelite treenimist sünteesitud andmete peal, kasutades ho- momorfse krüpteerimise meetodeid. Testülesandeks oli mitme jaemüüja andmete peal treenida tehisnär- vivõrk, mis liigitaks tootekirjeldusi. Tulemusena leiti, et päriselulise probleemi lahendamiseks on võima- lik mõistliku aja jooksul treenida tehnisnärvivõrk, kasutades homomorfset krüptograafiat. Väljatöötatud lahendust saaks tulevikus kasutada pilves asuva mudeli treenimiseks ja kasutamiseks nii, et erinevad osapooled saadavad andmeid pilve vaid krüpteeritud kujul. Häkatonide jaoks on tihti vaja pärisandmetele statistiliselt lähedasi andmeid. Kanada statistikaamet gene- reeris aastatel 2018 ja 2019 häkatonide jaoks sünteetilisi andmeid pärisandmete põhjal. Selleks kasutati andmete imputeerimise meetodit. Statistikaameti hinnangul oli andmesüntees edukas, sest võimaldas ametil saada kogemusi sünteetiliste andmete genereerimisega ning mõlemad häkatonid viidi läbi süntee- situd andmetega [ 8]. 5.5 Prantsusmaa 5.5.1 CNIL toetav roll privaatsuskaitse tehnoloogiate juurutamisel 1978. aastal asutatud Prantsusmaa andmekaitse agentuur CNIL on välja töötanud ja avaldanud käsit- lusi ja juhendmaterjale mitmetest privaatsuskaitse tehnoloogiatest. 2014. aastal avaldas CNIL käsitluse pseudonüümimis- ja anonüümimistehnikatest [ 185]. Dokumendis antakse ülevaade andmete saalimisest, k-anonüümimisest, l-hajutatusest, t-lähedusest, müra lisamisest ja diferentsiaalprivaatsusest ning selgi- tatakse nende tehnikate põhimõtteid, tuuakse välja nendega seotud tugevusi ja nõrkusi ja nende raken- damisel tehtavaid tüüpvigu. CNIL korraldab regulaarselt teaduskonverentsi Privacy Research Day , mille teemade hulgas on privaat- sust säilitavad tehnoloogiad. 76 Üritusele oodatakse ettekannetena päriselulisi näiteid privaatsuskaitse tehnoloogiate rakendamisest. Koos Prantsusmaa arvutiteaduse instituudiga Inria annab CNIL juba seitsmendat korda välja privaatsus- kaitse auhinda CNIL-Inria Privacy Award , mille eesmärk on edendada privaatsus- ja andmekaitsealast teadustööd, keskendudes privaatsuslõimele, algoritmide läbipaistvusele, privaatsuskaitse tehnoloogiate juurutamisele, anonüümimisele ja privaatsusriskide analüüsile. 77 5.5.2 Prantsusmaa suveräänne tehnoloogiaarendus Prantsusmaa tugev soov digitaalse suveräänsuse järele on suunanud neid mitmeid tehnoloogiad uuesti arendama ja välja töötama, sh ehitasid nad oma unikaalse COVID-19 lähikontaktide tuvastamise raken- duse StopCovid. Erinevalt DP-3T tehnoloogial põhinevast lahendustest, kasutas StopCovid tsentralisee- ritud lähenemist. Puuduvate privaatsusgarantiide tõttu pälvis rakendus palju kriitikat ning Apple ei võimal- danud seda enda nutiseadmetel kasutada. Rakenduse vastu oli prantslastel võrdlemisi väike huvi, selles süüdistas valitsus aga ebapiisavat teavitustööd [ 186]. 75https://replica-analytics.com/knowledge-base (viimati külastatud 02.03.2023). 76CNIL, Call for Papers: Privacy Research Day 2023 https://www.cnil.fr/en/ call-papers-privacy-research-day-2023 (viimati külastatud 02.03.2023). 77Launch of 7th edition of CNIL-Inria Privacy Award https://www.cnil.fr/en/ launch-7th-edition-cnil-inria-privacy-award (viimati külastatud 02.03.2023) Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 104 / 138 ID D-16-175 Avalik 5.5.3 Liitõppe rakendamine terviseuuringutel Prantsuse-USA biotehnoloogia ettevõte Owkin arendab avatud lähtekoodiga liitõppe platformi Substra, mis võimaldab terviseasutustel teha koostööd uute ravimite väljaarendamisel ning personaalmeditsiini alastel uuringutel. Platvormi abil treeniti nelja prantsuse haigla andmete peal masinõppe mudel, mis prog- noosib neoadjuvantse keemiaravi mõju kolmekordse negatiivse rinnavähiga patsientidele [ 187]. MELLODDY projektis, millest võttis osa kümme terviseasutust, kasutati Substra platvormi ravimite avas- tamiseks. Tegu oli ühe suurima farmaatsiaalase tehisõppe koostööprojektiga [ 188]. 2021. aastal moodus- tatud konsortsium ScanCovIA kasutas Substra platvormi, et treenida tehisnärvivõrke COVID-19 patsiendi kopsutomograafia põhjal haiguse kulu [ 189]. Owkin on partner ka 2022. aastal alanud OncoLab projektis, mille eesmärgiks on teha terviseasutus- te andmed privaatsust kaitsvalt kättesaadavaks kõigile projekti liikmetele [ 190]. OncoLab Projekti juhib ettevõte Arkhn, mis keskendub samuti privaatsuskaitse tehnoloogiatele tervishoiusektoris. Täpsemalt ka- sutavad nad liitõppe ja diferentsiaalprivaatsuse lahendusi. 78 5.6 Singapur 5.6.1 Privaatsuskaitse tehnoloogiate liivakast Märkimaks kümne aasta möödumist andmekaitseseaduse PDPA ( Personal Data Protection Act ) vastu- võtmisest Singapuris, seadis sealne valitsusagentuur IMDA 2022. aasta suvel üles turvalise testimis- keskkonna privaatsuskaitse tehnoloogiatega seotud pilootprojektideks [ 191]. Projektide eesmärgiks on tuvastada, millised tehnoloogiad aitaksid ettevõtteid andmete jagamise probleemide puhul ja millised on erinevate tehnoloogiate piirangud. Pilootprojektide põhjal kavatsevad IMDA ja andmekaitseagentuur PD- PC tuvastada tarkvarad, mida kasutatakse privaatsuskaitse tehnoloogiate rakendamisel ja arendada välja standardeid ning poliitikaid tehnoloogiate kasutuselevõtuks. 5.6.2 Innovatsioon COVID-19 lähikontaktide tuvastamisel Singapuri TraceTogether rakendus aitab Bluetooth tehnoloogia abil tuvastada COVID-19 lähikontakte [192]. Rakenduse kasutajad saadavad kokkupuute korral omavahel ajutisi juhuslikke võtmeid. Kui üks osapool peaks haigestuma ja selle rakenduses vastavalt ära märgib, saab teine teavituse, et on olnud nakatanuga lähikontaktis. Vältimaks teavitusi lühiajaliste kokkupuudete või läbi seina naabritega vaheta- tud võtmete tõttu, hinnatakse nakatumise kontrollimisel kasutajate lähikontaktis viibimise aega ja selle aja vältel olnud signaali tugevust. Kuigi rakendus pakub privaatsusgarantiisid teiste kasutajate eest, on selle aluseks olevat BlueTrace tehnoloogiat kritiseeritud, sest ajutisi võtmeid jagatakse välja tsentraalselt. Seega peab nakatunu üles laadima enda kontaktide logi terviseteenusepakkuja serverisse, kus võtmed vastavate kasutajatega lingitakse. Lähikontaktsete teavitamiseks võetakse nendega ühendust vastavast asutusest. TraceTogether’iga sarnase kuid detsentraliseeritud võtmetega versiooni lähikontaktide tuvastamise süs- teemi arendasid välja ning viisid juurutusteni Euroopa teadlased [ 193]. 5.7 Ühendkuningriik 5.7 .1 Ameerika Ühendriikide ja Ühendkuningriigi PET programm Ühendkuningriik ja Ameerika Ühendriigid on üheskoos algatanud privaatsuskaitse tehnoloogiate prog- rammi ja võistluse US-UK Prize Challenges on Privacy Enhancing Technologies [194]. Ühendkuningriigi poolt veab võistluse korraldamist ja planeerimist andmeeetika- ja innovatsioonikeskus CDEI ( Centre for Data Ethics and Innovation ). 78https://arkhn.org/our-technologies (viimati külastatud 02.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 105 / 138 ID D-16-175 Avalik 5.7 .2 Teadus- ja standardimisprogrammid Ühendkuningriigi riiklik teaduste akadeemia Royal Society andis aastal 2023 välja privaatsuskaitse teh- noloogiate aruande [ 6]. Aruande eesmärk on anda ülevaade kõige lootustandvamatest privaatsuskaitse tehnoloogiatest ja nende rakendustest, propageerida tehnoloogiate kasutuselevõttu Ühendkuningriigis, tutvustada erinevate tehnoloogiate kasutusvõimalusi ja ajendada nende standardiseerimist. Raportis tuuakse välja, et teadmised tehnoloogiate olemasolust ja olemusest on vähelevinud ning uute väheuuritud tehnoloogiate kasutuselevõtt tundub paljudele ettevõtetele pigem liiga riskantne. Peamis- teks valukohtadeks privaatsuskaitse tehnoloogiate juurutamisel on standardite, tuntud kasutusjuhtude ja firmasiseste ekspertide puudumine. Uute tehnoloogiate vastu puudub usaldus ning nende kasutusele- võtt tundub keeruline ja ressursse nõudev. Lahenduseks võiks olla standardite ja juhendite koostamine, tihedam koostöö teadurite ja potentsiaalsete juurutajate vahel ning riiklik strateegiline lähenemine teh- noloogiate kasutuselevõtmisel. Aruanne toob näiteid privaatsuskaitse tehnoloogiate kasutamisest, keskendudes sellele, et potentsiaal- sed kasutajad teaksid, mida tehnoloogiad teha võimaldavad, ja milliseid probleeme nende kasutamisega vältida saab. Raportis on välja toodud võimalikke ja tegelikke kasutusjuhte tervishoiu-, energia-, sotsiaal- , finantsvaldkonnast. Royal Society uuris ka avaliku sektori huvi privaatsuskaitse tehnoloogiate vastu. Järeldusena toodi välja, et peamiselt on küsitletud asutused huvitatud pseudonüümimisest, anonüümi- misest, andmesünteesist, diferentsiaalprivaatsusest ja liitõppest. 5.7 .3 Liitõppe ja diferentsiaalprivaatsuse prototüüpimine Ühendkuningriigi õigussektori kaasajastamisele pühendatud algatuse LawtechUK eestvedamisel loodi prototüüp, mis võimaldab juriidilistel asutustel saada teadmusi nende ühendandmetelt, jagamata lokaal- seid andmeid [ 195]. Prototüüp võimaldas privaatsust säilitavalt analüüsida vastutusklausleid asutuste Norton Rose Fulbright , Vodafone, Ashurst ja Solicitors Regulatory Authority pilvtarkvara dokumentidest ja koostas nende põhjal raporti. Kokku analüüsisid asutused 46 doc.x ja pdf formaadis dokumenti, millest algoritm suutis edukalt analüüsida 87%. Prototüübi loomisel kasutati RegulAItion AIR Platformi . Privaat- suskaitse tehnoloogiatest kasutati liitõpet ja diferentsiaalprivaatsust, võimalusena toodi välja ka plokiahe- la kasutamine. Londoni ülikoolist UCL välja kasvanud RegulAItion valiti ka aastal 2020 finantstehnoloogiate häkatoni Global FinTech Accelerator võitjaks. Nende pakutud lahendus demonstreeris, kuidas AIR Platform aitaks Aasia finantsasutustel võidelda COVID-19 ja kliimamuutustega seotud probleemidega 79. 5.7 .4 Sünteetilised andmed ja diferentsiaalprivaatsus statistikas Ühendkuningriigi statistikaamet ONS on sünteetiliste andmete genereerimist uurinud alates aastast 2018, keskendudes andme- ja masinõppekonveieritele. Alates sellest ajast viiakse läbi projekte, mille eesmärk on võimaldada teaduritel kasutada sünteetilisi andmeid enne juurdepääsu saamist pärisandmetele. 2021. aasta rahvaloenduseks valmistudes genereeris ONS sünteetilisi andmeid koormuse tasakaalustamise ja andmete töötlemisel kasutatavate funktsioonide testimiseks. Sealjuures oli teatud juhtudel oluline, et sün- teetilised andmete oleksid sarnase jaotusega nagu pärisandmed. Sünteetilisi andmeid kasutati ka Ühend- kuningriigi COVID-19 nakatumise uuringu masinõppeprotsesside vigade silumiseks. Kui rahvaloenduse kasutusjuhtu loetakse edukaks, siis COVID-19 uuringu sünteetiliste andmete ja päri- sandmete statistilised omadused ei läinud piisavalt hästi kokku, mistõttu pärisandmetel tekkinud vead ei tulnud sünteetiliste andmete puhul esile. ONS uurib ka diferentsiaalprivaatsuse kasutamist andmete sün- teesimisel, selleks testitakse võistluse NIST Differential Privacy Challenge raames välja töötatud mee- todeid. Seni läbi viidud projektide järeldusena tuvastas ONS, et lisaks sünteetiliste andmete kasulikkuse ja privaatsusnäitajate hindamisele, tuleb hinnata ka sünteesimisprotsessi arusaadavust. Diferentsiaalp- rivaatsuse kasutamine võimaldaks andmesünteesi huvipooltel väljendada oma riskitaluvust, aga selleks 79RegulAItion wins 2020 Global Fintech Accelerator https://regulaition.com/2020/12/10/ regulaition-wins-2020-global-fintech-accelerator (viimati külastatud 02.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 106 / 138 ID D-16-175 Avalik peab andmete sünteesimise protsess olema arusaadav ka neile, kes pole selle teema spetsialistid [ 8]. 5.8 Šveits 5.8.1 Nullteadmus ja mikservõrgud internetihääletuses Šveitsi internetivalimiste ajalugu ulatub sajandivahetusse. Vähene valimisaktiivsus ning laialdased ko- gemused posti teel kaughääletamisega lõid internetihääletamiseks soodsad olud. Internetihääletamise süsteemi hakati Šveitsis välja töötama mitmes kantonis korraga, esimeste katsetusteni jõuti 2003. aas- ta referendumil Genfi kantonis. Erinevate süsteemide väljaarendust jätkati detsentraliseeritult, peamiselt kasutasid kantonid enda süsteeme referendumitel [ 196]. Ilmselt üks enimkasutatud süsteeme on sVote. Algselt ettevõtte Scytl poolt välja arendatud, kuid praegu Šveitsi Posti poolt hallatud süsteemi kasutati kantonites 2016. aastast alates. Aastal 2019 avastati süsteemis turvaauk, mida seejärel parandama hakati [ 197]. Aastal 2021 avaldati uus- versiooni kood ja dokumentatsioon, et vabatahtlikud saaksid süsteemi testida [ 198]. Uues süsteemis ka- sutatakse privaatsuskaitse tehnoloogiatest otspunktkrüpteerimist, mikservõrke ja nullteadmustõestusi. Hääle andmise protsessi alguses hääl krüpteeritakse ning saadetakse hääletusserverile. Enne häälte loendamist kasutatakse nende segamiseks mikservõrke, selle eest vastutavad üksteisest sõltumatud kontrollkomponendid. Mikservõrkude ja ka hiljem häälte dekrüpteerimise juures kasutatakse nulltead- mustõestusi, kindlustamaks, et nende protsesside käigus hääli ei lisata, kustutata ega muudeta [ 199]. 5.8.2 Hajutatud COVID-19 lähikontaktide tuvastamise süsteem DP-3T Šveitsi tehnoloogiainstituudi EPFL ja ETH Zürichi teadlased aitasid välja töötada DP-3T tehnoloogiat COVID-19 haigete lähikontaktide tuvastamiseks [200]. Šveitsi lähikontaktsete tuvastamise rakendus Swis- sCOVID oli ka esimene selle tehnoloogia juurutus. Tehnoloogia rakendas privaatsuse kaitsmiseks krüp- tograafiat. Erinevalt Singapuri rakendusest TraceTogether, mis põhineb BlueTrace tehnoloogial, on DP-3T täielikult detsentraliseeritud lahendus. See tähendab, et ajutised võtmed, mida kasutaja seade lähikon- takti sattuvate seadmetega vahetab, genereeritakse kasutaja nutitelefonis mittekeskses serveris. Seega saavad vaid kasutajad ise kontrollida, kas nad on nakatanuga kokku puutunud. DP-3T leidis laialdast ka- sutust avatuse, privaatsusgarantiide ja detsentraliseeritud lähenemise tõttu [ 193]. 5.8.3 Homomorfne krüptograafia Šveitsi meditsiiniasutuste võrgus Šveitsi meditsiiniteaduste akadeemia SAMS koordineerib Šveitsi personaaltervise võrku ( Swiss Persona- lized Health Network , SPHN) 80. Esimese privaatust säilitava ja turvalise terviseandmete jagamise süs- teemina võeti kasutusele MedCo 81. Homomorfse krüptograafia, turvalise ühisarvutuse ja diferentsiaalp- rivaatsuse abil saavad välised osapooled uuringuid läbi viia mitme asutuse andmete peal [ 201]. Privaatsuskaitse tehnoloogiate MedCo ja TI4Health võimalikku kasutust uuritakse kahe SPHN teadus- projekti juures – Swiss Personalized Oncology ja Swiss BioRef. 82 Esimene on vähiuuringute projekt, mille konsortsiumisse kuuluvad viie ülikooli haiglad ja mitmed regionaalsed vähiravikeskused üle kogu riigi. Tei- se projekti eesmärgiks on luua võrgustik, mis aitab kokku tuua nelja Šveitsi haigla andmed (enam kui 9 miljonit mõõtmistulemust enam kui 250 000 patsiendi kohta) ja arvutada nende pealt kliiniliste mõõtmiste referentsväärtusi. 80https://sphn.ch (viimati külastatud 02.03.2023). 81https://medco-ch.github.io/ (viimati külastatud 02.03.2023). 82https://sphn.ch/network/projects (viimati külastatud 02.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 107 / 138 ID D-16-175 Avalik Krüpteeritud andmete ühisanalüüs Šveitsi personaaltervise võrgus Lühidalt: Šveitsi personaaltervise võrk kasutab privaatsuskaitse tehnoloogiaid süsteemis MedCo, et viia läbi uuringuid mitme terviseasutuse andmete peal. Teostamise aasta: Alates 2018 Riik: Šveits Omanik: Šveitsi meditsiiniteaduste akadeemia (SAMS). Teostaja: MedCo väljatöötajaks olid ülikoolid EPFL (École Spéciale de Lausanne ) ja CHUV ( Lausanne University Hospital), rahastajateks SPHN ( Swiss Personalised Health Network ) ja PHRT (Personalised Health and Related Technologies ). Tööstuslikku lahendust TI4Health arendab praegu iduettevõte Tune Insight, mis kasvas välja EPFL laboritest. Süsteemi küpsus: püsiv juurutus Privaatsuskaitse tehnoloogiad:

  1. homomorfne krüptograafia
  2. turvaline ühisarvutus
  3. diferentsiaalprivaatsus Sobivad kasutusjuhtumid: privaatne analüütika Ülevaatlik mudel: Teadur Teaduri avaliku võtmega krüpteeritud päringu tulemus Terviseasutus 1 Terviseasutus k Homomorfselt Krüpteeritud andmed Homomorfselt Krüpteeritud andmed PrivaatsusJõudlus Krüpteeritud kollektiivne analüüs Andmehoidla A Andmehoidla B Andmehoidla C SQL päring Avalik võti Privaatvõti Privaatsus ... Märkimisväärsed omadused:
  4. MedCo produktsioonivalmis versiooni TI4Health, mida arendab praegu Tune Insight, kasutab Šveitsi personaaltervise võrgustik SPHN ning sellel viivad teadlased läbi tundlikele andmetele ligipääsu nõudvaid kliinilisi ja geneetilisi uuringuid.
  5. Privaatsuskaitse tehnoloogiate abil teostatakse vähiuuringute projekti ja luuakse nelja Šveitsi haigla andmeid koondavat võrgustikku, mis ühendaks üle 9 miljoni mõõtmistulemuse üle 250 000 patsiendi kohta. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 108 / 138 ID D-16-175 Avalik 6 Privaatsukaitse tehnoloogiate rakendusvõimalused e-riigis 6.1 Turvalised andmeruumid e-teenustele Andmeruumid on mõeldud üksikisikule tema kohta käivate teenuste osutamiseks. Andmeruum on vajalik juhul, kui teenuse osutamiseks vajalikud andmed ei ole ühes andmekogus olemas ning on vaja kokku tuua isiku andmeid mitmest allikast. Andmeruume saavad rakendada nii avaliku kui erasektori teenused. Andmeruumide kasutusjuhtumeid on mitmeid.
  6. Isikule tema sissetulekute ja kulutuste põhjal personaalsete toimetulekutoetuste määramine.
  7. Isikule tema sissetulekute põhjal personaalsete trahvide määramine.
  8. Isikule tema andmete terviseloo põhjal personaalsete tervisesoovituste andmine.
  9. Isikule tema krediidiajaloo põhjal personaalsete krediidipakkumiste tegemine. Privaatsuskaitse tehnoloogiate abil saab osutada teenust nii, et vajalikke andmeid ei pea tooma kaitsma- ta kujul ühte kohta kokku, töötlemine toimub kas algusest lõpuni krüpteeritud kujul või riistvaralisi turva- meetmeid kasutades. Krüpteeritud kujul koondatud andmete peal saab teha linkimise ning täita päringuid konkreetse isiku kohta. Sellise teenuse eeliseks on tugevam isikuandmete kaitse. Esiteks, vähemad osapooled näevad näevad isiku kohta käivaid andmeid. Teiseks, informatsioon andmeallikate kohta ei ole nähtav andmeruumi tee- nuseandjale. Andmeruumid võimaldavad ka nähtavuse ja sekkutavuse teenuste teostamist. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 109 / 138
Page 10 of 12