Privaatsuskaitse%20tehnoloogiate%20kontseptsioon%20%281%29.pdf

Type: Document | Status: ready
← All sources

ID D-16-175 Avalik Turvalised andmeruumid teenustele Lühidalt: Mitme (nt avaliku või erasektori) andmebaasi sisu põhjal osutatakse üksikisikule e-teenust. Sobivad privaatsuskaitse tehnoloogiad:

  1. usaldatud käivituskeskkonnad (peatükk 4.2.8)
  2. turvaline ühisarvutus (peatükk 4.2.10)
  3. homomorfne krüptograafia (peatükk 4.2.9) Ülevaatlik mudel: Andmekogu 1 (nt avalik sektor) Täiendavad andmekogud ... Privaatsed sisendandmed ⬆ Privaatsus Andmeruum, mis töötleb sisendeid ilma neid lekkimata Päring (nt isikukood ja  muud parameetrid) Tulem (nt isiku jaoks arvutatud tulem) Andmekogu 2 (nt erasektorist) ... Privaatsed sisendandmed ⬆ Privaatsus Täiendavad andmekogud ⬆ Privaatsus ⬆ Privaatsus Tekkiv lisaväärtus:
  4. Luuakse uusi e-teenuseid, mis kasutavad pa- remini ära avaliku ja erasektori andmeid ja mida seni oli kõrge riskitaju tõttu keerukam ehitada.
  5. Privaatsust kaitsev mõju on eriti suur proaktiiv- setele, personaalsetele ja sündmusteenus- tele, mis on kõrge isikustatuse tasemega. Konkreetsed rakendused:
  6. Vajaduspõhiste energia- ja muude toetuste ar- vutamine
  7. Erasektori tervishoiuteenuse osutajate tervi- seandmete (Apple Health) kaasamine riigi teenustesse
  8. Positiivne krediidiregister
  9. Digitaalne majutuskaart Privaatsuskaitse rakendamise eelised:
  10. Tänu osalisele tsentraliseerimisele on kergem kaasata andmeid osapooltelt, kellel on nt ebamugav juurutada X-tee turvaserverit.
  11. Hoolimata tsentraliseerimisest ei teki ühte keskset osapoolt, kes suudaks kõiki and- meid avaldada. Näidisrakendused:
  12. Kasutajate kontaktide ühisosa leidmine Sig- nali vestlussüsteemis usaldatavate käivitus- keskkondade abil
  13. Nõrkade paroolide tuvastamine Microsoft Ed- ge veebilehitsejas homomorfse krüptograa- fia abil Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 110 / 138 ID D-16-175 Avalik 6.2 Privaatne andmete linkimis- ja analüüsiteenus Turvalise arvutamise abil on võimalik luua ka riiklik andmete ühendamisteenus, mis võimaldaks andmete väljastuste tegemisel neid nt isikukoodide järgi ühendada ning seejärel andmeid taotlenud teadlastele või asutustele üle anda. Sama teenuse edasiarenduses saaks teha ka analüütilist töötlemist, masinõppemu- delite treenimist või väärtustamist. Kui andmeruumid keskenduvad üksikisikule teenuse osutamisele (vt peatükk 6.1), siis andmete linkimise ja analüüsi puhul koondatakse andmeid mitmete isikute kohta. Sellisel juhul pole väljundiks mitte arvu- tustulemus üksikisiku kohta, vaid statistiline tulem, masinõppemudel või aruanne. Sellisel moel saab lahendada mitu kasutusjuhtu.
  14. Statistiliselt analüüsida andmeruumides osutatud teenuseid ja tehinguid.
  15. Koostada aruandeid, statistilisi või masinõppemudeleid mitmest allikast pärit andmebaasidel.
  16. Tuvastada pettuseid ja ennetada kuritegusid. Andmete analüüs toetab ka uute teenuste arendust. Masinõppe rakendused, kratid ning otsusetoe süs- teemid, mis töötlevad mitme osapoole isikustatud andmeid, vajavad analüütilist eeltööd nende samade andmete põhjal. Privaatsuskaitse tehnoloogiatega andmete linkimis- ja analüüsiteenus aitab sellist tööd teha turvalisemalt kui tavapärased lahendused. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 111 / 138

ID D-16-175 Avalik Privaatne andmete linkimis- ja analüüsiteenus Lühidalt: Mitmest allikast kogutakse andmeid, neid lingitakse ja analüüsitakse privaatsuskaitse tehnoloogiatega, et luua uusi mudeleid ja teadmisi. Sobivad privaatsuskaitse tehnoloogiad:

  1. turvaline ühisarvutus (peatükk 4.2.10)
  2. usaldatud käivituskeskkonnad (peatükk 4.2.8
  3. liitõpe (ei võimalda andmete linkimist tunnuste järgi, ptk 4.2.6)
  4. homomorfne krüptograafia (peatükk 4.2.9)
  5. täiendavad väljundprivaatsuse tehnikad vasta- valt vajadusele Ülevaatlik mudel: Andmekogu 1 (nt avalik sektor) Täiendavad andmekogud ... Privaatsed sisendandmed ⬆ Privaatsus Andmeanalüüsi keskkond, mis andmeid ei näe, kuid ühendab ja töötleb Analüüsiülesanne Analüüsi tulem Andmekogu 2 (nt erasektorist) ... Privaatsed sisendandmed ⬆ Privaatsus Täiendavad andmekogud ⬆ Privaatsus Tekkiv lisaväärtus:
  6. Luuakse uued analüütikateenused, mis too- vad kokku avaliku ja vajadusel ka erasektori andmed Konkreetsed rakendused:
  7. Rahapesu või maksupettuste vastase võitluse analüütika
  8. Positiivse krediidiregistri analüütika
  9. Digitaalsete majutuskaartide analüütika
  10. Mobiilside asukohaandmete põhine statistika Privaatsuskaitse rakendamise eelised:
  11. Riigi andmete linkimine ja näiteks ka anonüümi- mine või diferentsiaalprivaatsuse rakenda- mine on võimalik ära teha enne andmestiku väljastamist.
  12. Erasektori andmete kaasamisel on võimalik tõestada, et riik ei saa teha nende andme- tega kokkulepitust rohkemat. Näidisrakendused:
  13. Bostoni palgalõhe uuring turvalise ühisarvutu- sega
  14. IKT tudengite õpikäitumise uuring maksu- ja haridusandmete peal turvalise ühisarvutu- sega
  15. Suurbritannia piloot toetuspettuste uurimiseks turvalise ühisarvutusega Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 112 / 138 ID D-16-175 Avalik 6.3 Avaandmete teenused Avaandmete teenused saavad väljastada teistele teenustele vajalikke lähteandmeid piiratult, vastavalt päringutele. See võimaldab luua teenuste hierarhiaid, mis toetuvad riigi vastavatele teenustele. Riigil on mitmeid andmeid, mida saavad ära kasutada uute teenuste arendajad. Mitmed neist andmebaasidest ei ole üldse isikutepõhised ning seega ka privaatsuskaitse tehnoloogiaid ei vaja. Küll aga võib privaatsus- kaitse tehnoloogiatega olla võimalik avaandmetesse tuua senisest rohkem andmeid. Selle eeldus on, et nende andmete taasisikustamine muudetakse piisavalt keeruliseks. Isikustatud andmetest tuletatud avaandmete abil saaks ehitada mitmeid uusi teenuseid.
  16. Rahvastikustatistikale tuginevad regionaalsed teenused hariduse, tervishoiu, rahanduse, transpordi, energeetika vms valdkondades.
  17. Andmeteenused, mis esitlevad inimestele andmeid arusaadavamal ja kasulikumal kujul. Loodav lisaväärtus tekiks nii ettevõtete kui ka inimeste seas – teadlikkus riigi andmetest ja nende efek- tiivsem tarbimine tõstaks andmepõhise otsustamise levikut ja juhtimise kvaliteeti. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 113 / 138

ID D-16-175 Avalik Avaandmetepõhised e-teenused Lühidalt: Riigi käsutuses oleva andmebaasi vastu lubatakse kasutada teiste teenuste ehitamisel ühe andmeallikana. Sobivad privaatsuskaitse tehnoloogiad:

  1. piirangutega päringuliidesed
  2. diferentsiaalprivaatsus
  3. sünteetilised andmed
  4. anonüümimine
  5. pseudonüümimine (ei ole isikustatud andmete puhul sobiv)
  6. täiendavad privaatsuskaitse tehnoloogiad avaldamise eelseks turvaliseks linkimiseks Ülevaatlik mudel: Andmebaas ⬇ Paindlikkus Lubatud päring Päringu vastus ⬆ Privaatsus Päring Tulem Avaandmete baas Privaatsuskaitse tehnoloogiaga teisendatud andmebaas ⬆ Privaatsus Tekkiv lisaväärtus:
  7. Uued avaandmete teenused seni jagamata peal loovad võimaluse ehitada seni võima- tuks (liialt riskantseks) peetud teenuseid. Konkreetsed rakendused:
  8. Uued avaandmete teenused näiteks hariduse, tervishoiu, rahanduse, transpordi ja ener- geetika valdkondades Privaatsuskaitse rakendamise eelised:
  9. Privaatsuskaitse tehnoloogiatega kahandatak- se riske, et avaandmete teenuse peale ehi- tatakse mõni ebaeetiline või reputatsiooni rikkuv ärimudel.
  10. Privaatsuskaitse tehnoloogiatega kahandatak- se avaandmete taasisikustamise riski. Näidisrakendused:
  11. Statistikaameti statistika andmebaas
  12. Eesti avaandmete portaal
  13. Terviseameti COVID-19 anonüümitud avaand- med Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 114 / 138 ID D-16-175 Avalik 6.4 Andmebaasi avaldamine avaandmetena Infosüsteemide, teenuste ja krattide arendamiseks ning testimiseks on vaja andmeid, mis oleksid võima- likult reaalsed, kuid mis poleks isikustatud. Seda põhjusel, et vastavate andmekogude kasutuseesmärki- desse pole testimist tihti ette nähtud. Samuti on teadlastel ja haridusasutustel vaja andmeid, mis kirjeldaks uuritavat valdkonda, kuid ei oleks isikustatud. Sellisel juhul on otstarbekas avaldada terve andmebaas, mis on enne sobivalt töödeldud. Tegemist on võimsa tööriistaga, millel on palju rakendusi.
  14. Andmete kasutamine teadustöös ja poliitikauuringutes.
  15. Andmete kasutamine õppetöös, andmeteadlaste õpetamine e-riigi lahendusi ehitama.
  16. Infosüsteemide ja analüütikasüsteemide testimine. Suurim avaandmete kasutamisega seotud oht on seotud vähese kontrolliga nende kasutamise üle. Ava- andmete saaja võib taasidentifitseerida isikuid, kasutades selleks vabalt valitud täiendavaid andmebaase, mis talle kättesaadavad on. Seega peab avaandmetega seotud riskianalüüs olema põhjalikum kui kont- rollitud keskkondades (nt analüütiku töökohtadel või piiratud päringuliideste kasutamisel). Teatud juhtudel võib olla põhjendatud andmebaasi üleandmine vaid piiratud hulgale kasutajatele. Siis ei ole küll enam tegemist avaandmetega termini algses tähenduses. Oluline on ka vahet teha rakendustel, kus on kriitiline seos algandmestiku andmetega (nt seal olevate isikute omadustega) ja kus sellist seost ei ole. Näiteks sotsiaalvaldkonna või tervisestatistikat tehes on avaldatud andmete täpsus oluline. Infosüsteemide testimisel on tähtis, et testimiseks avaldatud andmes- tik oleks mitmekülgne ja testimisel kasulike eranditega. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 115 / 138

ID D-16-175 Avalik Andmebaasi avaldamine testimiseks, teadus- või õppetööks Lühidalt: Riigi andmebaas töödeldakse ja antakse kasutajale täies mahus, et seda kasutada õppetöös, teaduses või testimises. Andmebaasi võib teha täiesti avalikuks või anda piiratud hulgale kasutajatele. Sobivad privaatsuskaitse tehnoloogiad:

  1. sünteetilised andmed
  2. diferentsiaalprivaatsus
  3. anonüümimine
  4. analüütiku töökohad (sobilik vaid teadus- või õppetööks)
  5. pseudonüümimine (ei ole soovitatav)
  6. täiendavad privaatsuskaitse tehnoloogiad avaldamise eelseks turvaliseks linkimiseks Ülevaatlik mudel: Andmekogu Sisendandmed Andmete teisendus kujule, mis säilitab struktuuri ja statistilise jaotuse, kuid vähendab seoseid konkreetsete isikutega Rakendus teaduses või õppes Raskemini isikustatavad andmed  ⬆ Privaatsus Tekkiv lisaväärtus:
  7. Kvaliteetsete testandmetega kiireneb uute teenuste ja süsteemide loomine ning para- neb nende kvaliteet.
  8. Kasvab organisatsioonide arv, kes suudavad luua uusi e-teenuseid. Konkreetsed rakendused:
  9. Statistiliste andmete avaldamine
  10. Riigi tervishoiu, finants-, ja energiatarbe and- mete avaldamine õppe- ja teadustööks Privaatsuskaitse rakendamise eelised:
  11. Sõltuvalt valitud tehnoloogiast on avaldatud andmed täiesti juhuslikud, kuid siiski sar- naste statistiliste omadustega.
  12. Tugevaid privaatsuskaitse tehnoloogiaid kasu- tades vähendatakse ohtu asutuse mainele Näidisrakendused:
  13. Ameerika Ühendriikide statistikaameti rahva- loenduse andmete avaldamine diferentsiaal- privaatsel kujul
  14. LEOSS – Euroopa COVID-19 patsientide and- mete jagamine anonüümitult Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 116 / 138 ID D-16-175 Avalik 6.5 Sünteetiline digitaalne kaksik riigi andmetest ja teenustest E-riigi teenuseid tuleb arendada ja hooldada ning selle kvaliteedi tagamiseks on vajalik süsteemide tes- timine. Testimine tähendab siin nii jõudluse, korrektsuse kui ka kasutatavuse testimist. Selleks on vaja süsteemidesse laadida andmed. Andmekaitse ei luba süsteeme testida isikuandmetega. Päris juhuslike andmetega testimine ei aita aga tagada süsteemi kvaliteeti, sest ei leita üles äärejuhtumeid ja vigu. Tugevalt teenustele üles ehitatud e-riigi puhul ei piisa testimisel vaid sünteesitud andmebaasidest, vaid vaja on ka teenuseid, mis neid kasutaks. Seega on vaja sünteetilist digitaalset kaksikut peamistest e- teenustest, mille sees oleks sünteesitud andmed. Sellisel sünteetilisel digitaalsel kaksikul oleks üks peamine kasutus – e-riigi infosüsteemide ja teenuste testimine arenduse käigus. Samas aitaks testandmete probleemi lahendamine märkimisväärselt kaasa süsteemide kvaliteedi ning samal ajal ka andmekaitse ja privaatsuse tagamisele. Sünteetilise teisiku loomisel tuleb muidugi arvestada, et kvaliteetsete sünteetiliste andmete loomine eel- dab lähteandmete analüüsi ja sünteesi mudelite loomist. See tähendab, et lähteandmeid tuleb selleks töödelda. Teadusprojektid on näidanud, et sünteetilisi andmeid saab genereerida ka teiste privaatsus- kaitse tehnoloogiatega nagu näiteks usaldatavad käivituskeskkonnad 83. 83Andmekaitsenõuetele vastav testandmebaaside süntees turvalise arvutamise tehnoloogiaga. ETAG arendus- grant. https://www.etis.ee/Portal/Projects/Display/6d6fac18-1511-477b-b135-1121d959c903 (vii- mati külastatud 03.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 117 / 138

ID D-16-175 Avalik Sünteetiline digitaalne kaksik riigi andmetest ja teenustest Lühidalt: Riigi teenustest ja nendega seotud andmestikest koostatakse privaatsuskaitse tehnoloogiate abil koopiad, mis ei ole seotud isikutega ning sobivad seega süsteemide testimiseks. Sobivad privaatsuskaitse tehnoloogiad:

  1. sünteetiliste andmete genereerimine
  2. turvalise arvutamise tehnoloogiad süntee- sieelseks lähteandmete turvaliseks linki- miseks Ülevaatlik mudel: Andmebaasid Sünteetiline kaksik infosüsteemist või teenusest ⬆ Privaatsus Sünteetiliste andmete genereerimine (vajadusel koos teiste privaatsuskaitse tehnoloogiatega) Infosüsteem või teenus Sünteetilised andmebaasid Tekkiv lisaväärtus:
  3. Kvaliteetsete testandmetega kiireneb uute teenuste ja süsteemide loomine ning para- neb nende kvaliteet.
  4. Kasvab organisatsioonide arv, kes suudavad luua uusi e-teenuseid. Konkreetsed rakendused:
  5. Sünteetilised digitaalsed kaksikud tervishoiu-, finants- või muudele andmekogudele Privaatsuskaitse rakendamise eelised:
  6. Sõltuvalt valitud tehnoloogiast on avaldatud andmed täiesti juhuslikud, kuid siiski sar- naste statistiliste omadustega.
  7. Privaatsuskaitse tehnoloogiate abil saab sün- teesi käigus lähteandmeid kaitsta. Näidisrakendused:
  8. EU-SILC – Euroopa Liidu rahvastikuandmete sünteesimine Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 118 / 138 ID D-16-175 Avalik 6.6 Privaatne sündmuste logimine ja logide analüüs Digitaalsete teenuste kasutamisel on oluline koht logimisel. Logide põhjal saab tuvastada süsteemis esi- nevaid vigu, anomaaliaid ja väärkasutust. Samal ajal võib süsteemilogi olla väga tundlik andmebaas. Mõel- gem näiteks digitaalse identiteedi kasutuse logidele. Kui kasutaja autendib, allkirjastab digitaalset doku- menti või esitab mõnda tõendit, tehakse päring vastava digitaalse identiteedi kehtivuse kontrolli teenu- sele. Sellise teenuse pidaja suudab võrguühenduste infot talletades tuletada, milliseid teenuseid isik kasutab ning kui tihti. Teenuse iseloomust (nt mõni tervisenõustamise süsteem, mõni konkreetne veebiteenus) sõltuvalt võib selline logi sisaldada väga tundlikke isikustatavaid andmeid. Euroopa Liidu digitaalse iden- titeedi kavandites (eIDAS 2.0) on selliste logide pidamisele seatud piirangud. Samas on logid vajalikud pettuste otsinguks ja ennetamiseks. Privaatsuskaitse tehnoloogiate (nt turvaline ühisarvutus, homomorfne krüptograafia ja usaldatavad käi- vituskeskkonnad) abil on võimalik logisid koguda ning logidest pettuseid ja anomaaliaid leida nii, et tee- nusepakkujal ei ole logisid lahtisel kujul ning ta ei saa teenuse kasutajat logi kaudu profileerida. Nii on võimalik säilitada logimise funktsionaalsus ja vältida riski, et isiku logide kaudu on võimalik jälgida tema tegevusi. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 119 / 138

ID D-16-175 Avalik Privaatne sündmuste logimine ja logide analüüs Lühidalt: Teenuse kasutuse logi pidamiseks, analüüsiks ja anomaaliate või pettuste otsimiseks kasutatakse privaatsuskaitse tehnoloogiaid. Nii välditakse teenuse kasutajate liigset profileerimist. Sobivad privaatsuskaitse tehnoloogiad:

  1. usaldatud käivituskeskkonnad (peatükk 4.2.8)
  2. turvaline ühisarvutus (peatükk 4.2.10)
  3. homomorfne krüptograafia (peatükk 4.2.9) Ülevaatlik mudel: Teave anomaaliate
    koht ⬆ Privaatsus E-riigi teenus (näiteks sündmusteenus või digitaalse identiteedi teenus) Päring Tulem Privaatsuskaitse tehnoloogiaga
    kaitstud teenuse kasutuse logi andmebaas Kaitstud logikirjed ⬆ Privaatsus ⬆ Privaatsus Privaatsuskaitse tehnoloogiaga analüüsitakse logi ning leitakse anomaaliaid Logist anomaalia otsingu päring Logianalüüsi tulem Päring logile Tekkiv lisaväärtus:
  4. E-riigi teenuste kvaliteet püsib väga hea ilma, et nende kasutajate kohta koguneks liialt põhjalikke profiile. Konkreetsed rakendused:
  5. Digitaalse identiteedi kehtivuskinnituste logide kaitse ning anomaaliate tuvastamine.
  6. Sündmusteenuste logide kaitse ning anomaa- liate tuvastamine. Privaatsuskaitse rakendamise eelised:
  7. Uutele teenustele luuakse logid, mis aitavad parandada vigu, leida anomaaliaid ning tu- vastada pettuseid.
  8. Teenuse logi ei ole taaskasutatav kasutaja pro- fileerimiseks ega sisalda liigseid isikustatud andmeid. Näidisrakendused:
  9. Olemasolevaid teostuseid ei ole teada. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 120 / 138 ID D-16-175 Avalik 6.7 Tunnuste ja/või omaduste tõestamine Euroopa digitaalse identiteedi algatus näeb ette digitaalsete kukrute kasutuselevõttu identiteedi ja tõen- dite kandjana. Täna levinud tehnoloogiate puhul tähendaks see, et isik peab oma digitaalses kukrus kaasa kandma kõiki tõestatavaid andmeid ning neid ka vajadusel tõenduseks esitama. Tuleviku kukrud ja isikut tõendavad dokumendid võivad lubada isikul nullteadmustõestuste või nende alamosa, vahemiktõestuste, abil tõestada teenust hankides (näiteks ostu tehes), et ta on vanem kui teatav vanus. Samuti saab rühmaallkirjade abil tõestada, et isik kuulub teatud gruppi või tal on kukrus teatav andmeelement. Keerukamate tõendite esitamisel saame kasutada nullteadmustõestuseid, et luua tõendeid, mis ei pane kaasa kogu andmestikku, vaid esitavad kas krüptograafilise tõestuse või otsuse. Näiteks saame teha tõendi, et (a) isiku terviselugu vastab teatud ametiga seotud tervisestandardile, (b) tema pangaarvel on vaid teatud riikide või asutustega tehtud tehingud või (c) tema elektriauto on läbinud teatud vahemaa ning sellest 80% konkreetses riigis. Tõendi kontrollija saab teada, milline on olnud arvutus- ja otsustusprotsess ning kas andmed vastavad nõuetele, kuid ta ei näe lähteandmeid (terviselugu, pangakonto väljavõte, liikuvusandmed). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 121 / 138
Page 11 of 12