Privaatsuskaitse%20tehnoloogiate%20kontseptsioon%20%281%29.pdf

Type: Document | Status: ready
← All sources

ID D-16-175 Avalik 3 Privaatsuskaitse tehnoloogiate rakendamise kontseptsioon 3.1 Privaatsustehnika roll süsteemide elutsüklis Privaatsustehnika (ing k privacy engineering) on distsipliin, mille eesmärkideks on privaatsusris- kide kahandamine, arendusressursside kulutamise otsuste põhjendamine ning kaitsemeetmete toimiv teostamine infosüsteemides. Kui privaatsustehnikat efektiivselt rakendada, on lihtsamalt võimalik täita privaatsuseesmärke ja rahuldada andmekaitsenõudeid. Privaatsustehnika võib sisaldada erinevaid samme, näiteks nõuete, talitlusmudelite, riskide ja mõjude analüüsi, arhitektuuri loomist, infosüsteemide kavandamist ja teostamist. Seda kõike te- hakse süsteemselt, lähtuvalt privaatsuseesmärkidest. Nagu arutlesime peatükis 2.5, saab selline arendustegevus olla efektiivne, kui see on kohandatud süsteemi tavapärase elutsükliga. Süsteemi (näiteks IT-süsteemi või teenuse) elutsükkel sisaldab arendust, käitlemist, hindamist ja kasutuselt kõrvaldamist. Võime öelda, et iga süsteem on sellise elutsükli mingis etapis ning järgmised arendustegevused on võimalik selle etapi järgi tuletada. Näiteks võime eeldada, et käitluses olevat infosüsteemi mingil hetkel hinnatakse ja otsustatakse, kas seda on vaja edasi arendada või maha kanda. Igal sellisel sammul on vaja teha ka tegevusi ja otsuseid, mis aitavad süsteemiga seotud privaatsuseesmärke senisest paremini saavutada. Ühe sobiva allikana kirjeldab privaatsustehnika rakendamist süsteemide elutsüklis tehniline aru- anne ISO/IEC TR 27550 [ 14]. ISO/IEC TR 27550 selgitab, kuidas privaatsustehnika on seotud süsteemide arenduse, turvatehnika ja riskihaldusega. Lisaks kirjeldab viidatud tehniline aruanne, kuidas privaatsustehnikat rakendada teadmuse halduses, riskihalduses, nõuete analüüsis ja ar- hitektuuri kavandamises. Selle lähenemine on üldine ja sobib kasutamiseks nii tarkvara elutsük- lis (näiteks ISO/IEC/IEEE 12207 [ 15] alusel), teenuste ja toodete elutsüklis (näiteks ISO/IEC/IEEE 29148 [ 16] alusel) kui ka üldisemate süsteemide elutsüklites (näiteks ISO/IEC/IEEE 15288 [ 17] alusel). Eelnevast lähtuvalt soovitame lõimitud ja vaikimisi andmekaitset ja privaatsuskaitse tehno- loogiaid Eesti digiühiskonnas juurutada süsteemselt, tuues privaatsustehnika tegevused ta- vapärasesse süsteemide arenduse protsessi. 3.2 Eesti digiriigi süsteemide lihtsustatud elutsükkel Eesti e-riigis ei ole võimalik viidata ühtsele infosüsteemide või teenuste arenduse standardi- le, mida järgiksid kõik asutused ühtemoodi. Siiski on nii rahastusreeglitest, ühistest mittefunkt- sionaalsetest nõuetest kui ka teenuseid pakkuvate organisatsioonide ülesehituse sarnasustest lähtuvalt mitmeid ühiseid osi. Joonisel 1 toodud elutsükkel on lihtsustatud alamosa, mis on inspiratsiooni saanud teenuste loomise arenduseelsest plaanimisest, arendamiseks tehtavate hangete ülesandepüstitustest ja teenuste jätkuvast täiendamisest Eestis. Hoolimata üldistuse tasemest, on see kooskõlas süs- teemide üldiste elutsüklistandarditega nagu ISO/IEC/IEEE 12207 [ 15] ja ISO/IEC/IEEE 15288 [ 17]. Tsüklilisus tähendab, et kuidagi peab olema võimalik pöörduda tagasi varasemate etappide juur- de. Siin toodud lihtsustatud tsüklis võib nii arenduse kui käitlemise etappidest liikuda tagasi ana- lüüsi juurde. Seda võivad põhjustada sisemised nõuded (näiteks uute nõuete selgumine aren- Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 15 / 138 ID D-16-175 Avalik Lähteülesande sõnastamine ja eelanalüüs Talitluse analüüs ja mõjuanalüüsid Süsteemianalüüs ja arhitektuur Teostus, testimine ja juurutus Auditid ja hindamised Kasutuselt kõrvaldamine Joonis 1. IT-süsteemi lihtsustatud elutsükkel duse käigus) või väliskeskkonnast tulenevad nõuded (audit, õiguslik hinnang, võimalus süsteemi parendamisse investeerida). Elutsükkel lõpeb süsteemi kasutuselt kõrvaldamisega. Järgmistes alajaotistes kirjeldame, kuidas privaatsustehnikat igas elutsükli etapis rakendada. 3.3 Privaatsustehnika rakendamine elutsükli etappides 3.3.1 Privaatsustehnika ülesande sõnastamisel ja eelanalüüsil Etapi eesmärk. Organisatsiooni arengu käigus võivad selle liikmed leida, et edasiseks arenguks on vaja luua uus süsteem, milles töödeldakse andmeid. Kui nende andmete hulka kuuluvad min- gis töötlemise etapis isikustatud või isikustatavad andmed, tuleb koheselt alustada lõimitud and- mekaitsele mõtlemisega. Privaatsustehnika rakendamise juhised.

  1. Loetle andmete töötlemisega seotud osapooled ja andmevood kõrgel tasemel. Varajases arenduse faasis on nii osapoolte kui ka andmete liikumise kohta teave olemas vaid väga üldisel tasemel. Siiski on võimalik loetleda peamised andmestikud ja töödeldavad andmed, kus andmeid päritakse, nende töötlejad ja oodatavad liikumised töötlejate vahel.
  2. Sõnasta nõuded andmetöötluse minimeerimiseks. Andmevooge ja osapooli uurides võib selguda, et mõni töötlev osapool saab oma töö ära teha väiksema andmete hulgaga või on mõnede andmete puhul tegemist eriliigiliste või muud moodi tundlike andmetega. Selli- sel juhul tuleb süsteemi edasise arenduse nõuetesse lisada asjakohased korralduslikud ja tehnilised meetmed, millega minimeerida nende andmete töötlemine. Soovitused. Oluline on märkida, et selles etapis ei pea veel välja valima konkreetseid privaatsus- kaitse tehnoloogiaid – pigem tuleb sõnastada nõuded edasisele arendusele. Sõltuvalt süsteemi suurusest võib see etapp olla jagatud mitmeks alametapiks, mida teostavad erinevad osapooled. Näiteks võib ülesandepüstituse välja mõelda mõni riiklik asutus, kuid eelanalüüsi teostab hanke korras mõni teenuseandja. Sellisel juhul on otstarbekas koheselt järgida nõuandeid hangitavates töödes privaatsustehnika rakendamise korraldamise kohta (vt alajaotis 3.4.1). 3.3.2 Privaatsustehnika talitluse ja mõjude analüüsil Etapi eesmärk. Talitluse analüüsi käigus täpsustatakse osapoolte ülesandeid, süsteemi funkt- sioone ja selleks vajalikke andmevooge. Tulemina tekivad talitluse mudelid, milles võib kirjeldada andmebaaside struktuuri ja nende kasutamise detaile. Mudelitel peab olema piisav täpsus, mis võimaldaks hinnata, milliseid andmebaase või -objekte iga osapool töötleb ning millisel isikus- tatavuse tasemel on töötlemine süsteemi eesmärgi täitmiseks vajalik. Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tule- Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 16 / 138 ID D-16-175 Avalik musena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, peab vastutav töötleja enne isi- kuandmete töötlemist hindama kavandatavate isikuandmete töötlemise toimingute mõju isiku- andmete kaitsele (IKÜM artikkel 35 lõige 1). Näiteks on eriliigiliste andmete ulatusliku töötlemise puhul andmekaitsealase mõjuhinnangu läbiviimine kohustuslik (IKÜM artikkel 35 lõige 3 punkt b). Samuti laieneb kohustus juhtudele, kus toimub isikuandmete süstemaatiline ja ulatuslik hin- damine, mis põhineb automaatsel töötlemisel, sh profiilianalüüsil, ja millel põhinevad otsused, millel on andmesubjekti jaoks õiguslikud tagajärjed või muud samaväärsed mõjud (IKÜM artik- kel 35 lõige 3 punkt a). Andmekaitsealane mõjuhinnang tuleb teha ka avalike alade ulatusliku süstemaatilise jälgimise korral (IKÜM artikkel 35 lõige 3 punkt c). Tegemist ei ole ammendava loeteluga olukordadest, mis nõuavad andmekaitsealase mõjuhinnangu läbiviimist. Eesti riigisisese andmetöötluse puhul on Andmekaitse Inspektsioon määranud, et ulatusliku and- metöötlusega on tegemist juhul, kui töödeldakse:
  3. eriliiki või süütegude andmeid 5 000 ja enama inimese kohta;
  4. suurt ohtu põhjustavaid andmeid 10 000 ja enama inimese kohta;
  5. ülejäänud isikuandmed 50 000 ja enama inimese kohta 18. IKÜMi põhjenduspunktis 91 on välja toodud ka olukorrad, kus isikuandmete töötlemist ei tuleks lugeda ulatuslikuks. Näiteks ei peaks andmekaitsealane mõjuhinnang olema kohustuslik juhul, kui patsientide või klientide isikuandmeid töötleb üksik arst, muu tervishoiutöötaja või jurist. Andmekaitse Inspektsioon on sedastanud, et kuigi teatud juhtudel tuleneb mõjuhinnangu teos- tamise nõue IKÜMist, on see andmetöötlejale ka hea tööriist, vältimaks ebasoovitavate stsenaa- riumide realiseerumist.19 Seetõttu soovitame mõjuhinnangu läbi viia kõikidel juhtudel, kui kavan- datakse isikuandmete töötlemist, sh kui seda tehakse uuel viisil või töödeldatakse isikuandme- te uusi kategooriaid. Mõjuhinnangu läbiviimine tõstab oluliselt privaatsustehnika rakendamise efektiivsust ja privaatsuseesmärkide saavutamise tõenäosust. Privaatsustehnika rakendamise juhised.
  6. Täpsusta andmevooge ja osapooli. Täpsusta töötlejate rollid (andmesubjekt, vastutav, kaas- vastutav töötleja või volitatud töötleja).
  7. Kogu andmekaitsenõuded. Kogu osapoolte eesmärkidest lähtuvad ja süsteemi funktsionaal- sust määravad nõuded. Kogu õigusruumist, lepingulistest nõuetest, standarditest ja orga- nisatsiooni printsiipidest ja poliitikatest lähtuvad nõuded.
  8. Tuvasta osapoolte õigused ja võimekused. Kas mõnedel osapooltel on juba olemas õiguslik alus vajalike andmete töötlemiseks? Kas on olemas privaatsustehnoloogiaid rakendavad teenused, privaatsustehnika rakendamise kogemused ja praktikad?
  9. Koosta esmane andmekaitse mõjuanalüüs. Talitlusmudelite põhjal on juba võimalik teha es- mased riski- ja mõjuanalüüsid. Analüüside tulemusena selguvad osapooled ja töötlemise tegevused, mille risk on kõrge ja mis vajavad täiendavat andmetöötluse minimeerimist või privaatsuskaitse tehnoloogiate rakendamist. 18Andmekaitse Inspektsioon, Isikuandmete töötleja üldjuhend (2019), ptk 5. Andmekaitsealane mõjuhin- nang. https://www.aki.ee/sites/default/files/dokumendid/isikuandmete_tootleja_uldjuhend.pdf (viimati külastatud 02.03.2023), [ 18]. 19Andmekaitse Inspektsioon, Isikuandmete töötleja üldjuhend (2019) [ 18], ptk 5. Vt ka, Artikli 29 alusel asutatud andmekaitse töörühm, Suunised, mis käsitlevad andmekaitsealast mõjuhinnangut ja selle kindlaksmääramist, kas isikuandmete töötlemise tulemusena „tekib tõenäoliselt suur oht“ vastavalt määrusele (EL) 2016/679 viimati muude- tud ja muudatused vastu võetud 4. oktoobril 2017 ,https://ec.europa.eu/newsroom/article29/items/611236 (viimati külastatud 02.03.2023), [ 19]. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 17 / 138 ID D-16-175 Avalik Soovitused. Süsteemi talitluse mudelite kaardistamiseks on mitmeid levinud tööriistu, näiteks UML tegevusskeemid või BPMN talitlusmudelid. Mõlemale on tehtud ka laiendusi, mis aitavad kaardistada osapooli, andmevooge, teha riski- ja mõjuanalüüse (nt Privacy-Enhanced BPMN [20]). On tööriistu, mille abil saab teha lekkeanalüüse ja võrrelda, millised on süsteemide garantiid, kui privaatsuskaitse tehnoloogiaid on rakendatud ja kui neid ei ole rakendatud [21]. 3.3.3 Privaatsustehnika süsteemianalüüsi ja arhitektuuri etapis Etapi eesmärk. Süsteemianalüüsi ja arhitektuuri kavandamise käigus detailitakse süsteemi mu- delid selliseks, et nende põhjal saaks alustada teostust. Osapoolte ja talitluse tasemelt liigutakse tehnilise kirjelduse juurde ning kavandatakse süsteem, mis täidab nõudeid. Selles etapis tehakse ka privaatsuskaitse tehnoloogiate valikud. Privaatsustehnika rakendamise juhised süsteemianalüüsil.
  10. Tuleta privaatsusnõuetest funktsionaalsed nõuded. Kavandamise käigus tuleb leida nõue- tele sobiv teostus. Näiteks, kui privaatsusnõuetes on vajadus saada andmesubjekti tea- vitatud nõusolek, tuleb (hiljemalt) süsteemianalüüsi etapis kavandada nõusoleku võtmise, tühistamise ning soovitatavalt ka sellega seotud läbipaistvuse ja sekkutavuse funktsioonid. Siia kategooriasse kuluvad ka näiteks logimise, säilitustähtaegade ja hävitamisega seotud nõuded.
  11. Tuleta privaatsusnõuetest mittefunktsionaalsed nõuded. Mõned privaatsusnõuded ei mõ- juta otseselt loodavat süsteemi, vaid selle keskkonda. Näiteks võib olla vajalik privaatsu- se juhtimise süsteemi juurutamine organisatsiooni kvaliteedisüsteemi või teatud nõuetele vastava andmekeskuse või pilvandmetöötluse pakkuja kasutamine.
  12. Tuvasta süsteemi osad, mis vajavad andmetöötluse minimeerimist. Kui mõjuanalüüside käi- gus on leitud, et mõnede andmete töötlemine mõne osapoole juures on kõrgema riskiga, tuleb süsteemianalüüsi ja arhitektuuri etapis hinnata, kas privaatsuskaitse tehnoloogiaga saab vastava töötluse riski leevendada (funktsionaalsust säilitades) või tuleb funktsionaal- sust vähendada. Privaatsustehnika rakendamise juhised arhitektuuris.
  13. Privaatsuskaitse tehnoloogiate valik. Lähtuvalt süsteemianalüüsist, arhitektuurist ja mõju- analüüsidest valitakse sobivad privaatsuskaitse tehnoloogiate kandidaadid. Kui sobivaid privaatsuskaitse tehnoloogiaid on mitu, siis võib koostada mitu kandidaatarhitektuuri ja võrrelda nende omadusi (vaata järgmist juhist).
  14. Sobivaima arhitektuuri valimine kandidaatide seast. Süsteemi loomisel võib olla mitu arhi- tektuuri kandidaati (sõltumatult sellest, kas neis on erinevad privaatsuskaitse tehnoloo- giad). Nende vahel valiku tegemiseks on parim viis paika panna hindamiskriteeriumid nagu keerukus, turvaeesmärkide täitmine, privaatsuseesmärkide täitmine, õigusruumiga vasta- vus, aga ka arenduse ja ülalpidamise hind, ja viia läbi võrdlev hindamine. Selle tulemiks on süsteemi teostamise aluseks olev arhitektuur.
  15. Privaatsusmeetmete nimekirja koostamine. Kui arhitektuur on koostatud, siis soovitame koos- tada ka privaatsuse tagamise meetmete nimekirja, kus on loetletud süsteemis rakendatud korralduslikud ja tehnilised meetmed privaatsuseesmärkide saavutamiseks. Sellise nime- kirja saab lisada näiteks andmekogu dokumentatsiooni hulka ning sellega tõsta süsteemi läbipaistvust, aidates kaasa privaatsuseesmärkide saavutamisele.
  16. Uuenda mõjuanalüüsi pärast nõuete ja arhitektuuri detailimist. Kui süsteemi nõuded ja ar- hitektuur on täpsustatud (nt välja valitud konkreetsed tehnoloogiad ja nende pakkujad), Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 18 / 138

ID D-16-175 Avalik tuleb neile vastavalt uuendada riski- ja mõjuanalüüse, et hinnata, kas lisandunud funktsio- naalsus ja meetmed on aidanud riske kahandada ja privaatsuseesmärke saavutada või on näiteks mõne uue teenusepakkuja lisamine riske tõstnud. Soovitused. Standarditel ISO 9001 ja/või ISO/IEC 27001 põhineva juhtimissüsteemiga organi- satsioonidel aitab privaatsuse haldamise süsteemi luua standard ISO/IEC 27701:2019 ( Exten- sion to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management ) [ 22]. Privaat- sust ja andmekaitset käsitlevad moodulid on olemas ka Eesti infoturbestandardis E-ITS [ 23]. Maailmas kasutatakse veel ka standardimisorganisatiooni OASIS spetsifikatsiooni privaatsuse halduse etalonmudelit Privacy Management Reference Model (PMRM) [ 24], kuid see on Eestis vähem levinud. Arhitektuuri kandidaatide vahel valikute tegemiseks on Euroopas ja Eestis edukalt rakenda- tud Carnegie Melloni ülikoolist pärit arhitektuuride võrlemise metoodikat Architecture Tradeoff Analysis Method ehk ATAM [25]. ATAM toob sisse erinevate hindamiskategooriate kaalud, mil- lega saab süsteemi looja kas poliitika- või väärtuspõhiselt eelistada mõnda hinnatavat aspekti teisele (näiteks privaatsuseesmärkide saavutamist lihtsusele). Lisaks saab ATAMit rakendada töötoa formaadis, kogudes ja koondades erinevaid arvamusi ja luues neist ühtse hindamise tu- lemuse, mis võtab arvesse kõigi arvamust. 3.3.4 Privaatsustehnika teostamisel, testimisel ja juurutamisel Etapi eesmärk. Arenduse, teostamise, testimise ja juurutuse käigus ehitatakse valmis süstee- mid, liidestatakse andmebaasid, teised infosüsteemid ja teenused ning kontrollitakse süsteemi korrektsust. Valminud süsteem juurutatakse ja käivitatakse. Privaatsustehnika rakendamise juhis.

  1. Järgi muudatuste juhtimisel privaatsuseesmärke ning uuenda riskianalüüsi ja privaatsus- meetmete nimekirja. Arenduse käigus tuleb ikka ette plaanide muutuseid. Privaatsusteh- nika seisukohalt on kõige tähtsam jälgida, et süsteemis muudatusi tehes ei kahjustataks privaatsuseesmärke. Seega tuleb muudatusi kaaludes hinnata, kas need tõstavad riske (ja süsteem vajab seetõttu täiendavaid privaatsusmeetmeid) või langetavad riske (ja mõni meede ei ole enam vajalik). Soovitused. Privaatsustehnika on ühilduv erinevate süsteemide arenduse metoodikatega (sh väle arendus). Väleda arenduse juures on privaatsuskaitse tehnoloogiate analüüsi ja teostuse tööd üldises tööjärjes. Sprindid panustavad privaatsutehnika protsesside väljunditesse (riski- analüüs, nõuete analüüs, arhitektuur, detailanalüüs). Kõik arendajad ei pea olema privaatsusteh- nika asjatundjad, piisab ühest. Arendusmeeskonna ühel liikmel võib olla eraldi roll, mis vastutab andmekaitsega seotud tehniliste valikute eest (privaatsuse tooteomanik). 3.3.5 Privaatsustehnika auditi ja hindamise käigus Etapi eesmärk. Süsteemi auditid ja hindamised võivad toimuda mitmel põhjusel. Näiteks võib te- gemist olla regulaarse turvaauditiga. Samuti võib süsteemi rakendav asutus põhjalikumalt ana- lüüsida oma juhtimisala tööd ja süsteemide vajalikkust. Iga sellise kontrolli ülesandepüstitus on erinev. Näiteks kontrollitakse, kas süsteem vastab nõue- tele ning hinnatakse, milliseid osi on vaja uuendada või täiendada. Selles etapis on võimalik teha otsus lõimprivaatsuse ja privaatsuskaitse tehnoloogiate lisamiseks süsteemidele, mis neid seni ei kasutanud. Äärmisel juhul, kui süsteemi loomise põhjustanud lähteülesanne enam lahendamist Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 19 / 138 ID D-16-175 Avalik ei vaja, võidakse süsteem ka käitlusest eemaldada. Privaatsustehnika rakendamise juhised.
  2. Kontrolli privaatsuseesmärkide täitmist. Kui süsteemi arenduses ei ole varem privaatsusteh- nikat rakendatud, on süsteemi auditeerimine või suuremate arenduste planeerimine selleks hea koht. Esimeseks sammuks on teadvustada, et soovitakse lõimitud andmekaitse raken- damist rakendada. Teine samm on vaadata üle süsteemi hetkeseis (näiteks teostatud mõ- juanalüüsid) ning hinnata, milliste privaatsuseesmärkide suunas järgmises arendustsüklis töötama peaks. Kolmas eesmärk on leida ressursid privaatsustehnika arendamiseks ja/või rakendamiseks.
  3. Toeta protsessi seniste privaatsustehnika tegevustega. Kui privaatsustehnikat on juba ra- kendatud, siis selle rakendamise käigus kogutud dokumentatsioon toetab nii auditeid kui hinnanguid. Privaatsusmeetmete nimekiri toetab turvaauditeid. Privaatsusmõjude analüüs aitab hinnata privaatsuseesmärkide täitmist. 3.3.6 Privaatsustehnika süsteemi kasutuselt kõrvaldamisel Etapi eesmärk. Vahel selgub, et süsteem on oma töö ära teinud, selle käitamiseks ei ole organi- satsioonil enam ressursse või on see moraalselt vananenud ning asendatakse uue ja sobivama- ga. Sellistel juhtudel lõpetatakse vana süsteemi kasutamine. Privaatsustehnika rakendamise juhised.
  4. Veendu, et süsteemi kasutuselt kõrvaldamine ei mõju halvasti organisatsiooni privaatsu- seesmärkide täitmisele. Mõni infosüsteem toetab läbipaistvust või sekkutavust, hallates andmesubjekti nõusolekuid, näidates talle tema andmete töötlemise ulatust või lubades selle kohta juhiseid anda. Teine süsteem aitab andmetöötlust minimeerida, juurutades pri- vaatsuskaitse tehnoloogiaid, mis vähendavad andmete seostatavust andmesubjektidega. Selliste süsteemide kaotamine võib organisatsiooni privaatsuseesmärkidele olla halva mõ- juga, kui süsteemi ei asendata, ning siis tuleks kaaluda, kas kasutuselt kõrvaldamine on ainus võimalus.
  5. Uuenda külgnevate süsteemide riskianalüüse. Kui süsteem lõpetab töö, võib muutuda selle- ga seotud süsteemide privaatsusmõju. Seda näiteks juhul, kui need süsteemid ei pea enam saatma andmeid eemaldatud süsteemi. 3.4 Etapist sõltumatud soovitused 3.4.1 Privaatsustehnika rakendamise korraldamine hangitavates töödes Selgitus. Süsteemi rajav organisatsioon võib kõikides elutsükli etappides korraldada hankeid tööde tegemiseks. Järgmised soovitused aitavad sellistes projektides privaatsustehnikat raken- dada. Üldise reeglina – kui hanke järgi süsteemi või selle osade tarnija peab tegema tehnilisi valikuid, sh privaatsuskaitse tehnoloogiate valikuid, siis peaks hankija ette andma nõuded, millistes etap- pides tuleb andmetöötlust vähendada või vältida. Näiteks, kui vastutav töötleja soovib täielikult vältida isikustavate andmete töötlust ning rakendab selle eesmärgi saavutamiseks privaatsus- kaitse tehnoloogiaid. Või juhul, kui tegemist on andmete avaldamisega, tuleks ette anda nõuded, millisel tasemel taasisikustamist peaks tehniliselt vältima. Näiteks ”taasisikustamine ei tohi olla võimalik andmestiku töötlemisel kõrvalise infota või kõrvalist infot kasutades” . Viimasel juhul tu- Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 20 / 138 ID D-16-175 Avalik leb mõelda, kuidas välistatakse kõrvalise info kasutamine (mis ei ole pikas perspektiivis realistlik eeldus). Privaatsustehnika rakendamise juhised.
  6. Lisa privaatsusmeetmed ja vajadusel privaatsuskaitse tehnoloogiad hanke lähteülesan- desse. Privaatsustehnika edukaks rakendamiseks peavad hanke kirjelduses olema vas- tava arendusetapi jaoks sobivad nõuded. Hanke edukuse üheks tingimuseks on ka hankija ja pakkuja kohustustes kokku leppimine. Näiteks võib vastutav töötleja hankida teatud viisil (nt privaatsuskaitse tehnoloogiatega) töötlemist mõnelt volitatud töötlejalt või kaasvastu- tavalt töötlejalt. Samuti võib vastutav või volitatud töötleja hankida analüüsi- või arendus- töid, mis võivad vajada privaatsuskaitse tehnoloogiate juurutamist või otsest rakendamist. Hankija ei pea ise määrama tehnoloogiat, kuid võib nõuda, et minimeeritakse teatud and- mete töötlemist teatud osapoole juures. Asjakohased privaatsusmeetmed võivad sõltuda näiteks õiguslikust keskkonnast, kus ettevõte tegutseb, erinevatest lepingulistest kohus- tustest, aga ka ettevõtte eemärkidest ja privaatsuspoliitikatest (vt nt ISO 27550 lk 18, pri- vaatsuse valitsemise raam).
  7. Nõua pakkujalt privaatsustehnilise kompetentsi tõendamist. Kui hanke käigus on ette näha mõne privaatsuskaitse tehnoloogia või privaatsustehnika meetodi rakendamine, siis tuleb vastavate kompetentside tõendamine panna hankes kvalifitseerumise tingimustesse.
  8. Vormista hankelepingus õiguslikud alused tarnija tööks. Kui tarnija peab oma töö käigus töötlema hankija edastatud andmeid, sh isikustatavaid andmeid, peab hankija vastavad õigused ja kohustused lisama hankelepingusse.
  9. Kogu teavet hangitavate süsteemide privaatsusmeetmete kohta. Kui hangitakse tarkvara või IT-teenuseid, kohusta tarnijat selgitama välja ning esitama pakutavate tehnoloogiate privaatsusmeetmed ja kasutatud privaatsuskaitse tehnoloogiad.
  10. Kogu teavet hangitavate süsteemide tarneahela kohta.Kui tarnitav lahendus sõltub kolman- date poolte süsteemidest, kohusta tarnijat välja selgitama ja esitama teavet kõigi volitatud alamtöötlejate kohta, kes tarnitava süsteemi käitlemisel isikustatavaid andmeid töödelda võiksid. Kohusta tarnijat välja selgitama, millistes jurisdiktsioonides alamtöötlejad andmeid töötlevad ja millised on sellest lähtuvad riskid.
  11. Fikseeri vastutus jääkriskide eest. Mõne privaatsuskaitse tehnoloogia puhul tekivad jääkris- kid (nt teenuseandja, mõni tema alltöövõtja või volitatud alamtöötleja taasisikustab mõned andmed või rikub nende kasutuse reegleid). Vajalikud kohustused nende ohtude realisee- rumise tõenäosuste vähendamiseks tuleb panna hanke ja lepingu tingimustesse, et pak- kujad saaksid nendega arvestada. 7 . Fikseeri infoturvasündmustest ja intsidentidest teatamise kord ja kontaktisikud. Hankija ja pakkuja vahel tuleb kokku leppida kontaktisikud, keda ja millises ajaraamis teavitatakse infoturvasündmustest ja intsidentidest. Hea oleks defineerida ka selliste olukordade mõis- ted, et vältida arusaamatusi. Soovitused. Põhjalikumaid juhiseid hangetes privaatsustehnika rakendamise kohta annab stan- dard ISO/IEC 27550:2019 [ 14]. 3.4.2 Üldised soovitused privaatsusmõjude ja riskide analüüsiks Selgitus. Eelnevates juhistes rõhutasime mõju- ja riskianalüüside tähtsust süsteemi elutsükli kõi- kides etappides. Selle jaoks on mitmeid metoodikaid. Üldine töövoog on järgmine. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 21 / 138 ID D-16-175 Avalik Privaatsustehnika rakendamise juhised.
  12. Vali sobiv mõjude ja riskide analüüsi metoodika. Standardimisasutused, andmekaitseasu- tused ja teadlased on välja töötanud mitmeid lähenemisviise ja metoodikaid privaatsusmõ- jude hindamiseks ja riskide analüüsiks. Nende juurutamine ei pea tähendama kogu stan- dardi juurutamist. Efekt saavutatakse ka siis, kui võetakse üle üldine protsess ja peamised elemendid.
  13. Tuvasta võimalikud ohud ja ründed. Andmekaitseõigus seab kohustused ja määrab trahvi- õiguse isikustatavaid andmeid töötlevatele organisatsioonidele. Siiski tuleb privaatsusmõ- jude hindamisel eraldi käsitleda ohte isikutele kui võimalikele lõppkannatajatele. Analüüsi käigus tuleb kaardistada nii mittevaralisi kui varalisi kahjusid tekitavad ohud ning määrata ründaja profiil, kelle eest isikuandmeid kaitsta soovitakse.
  14. Hinda rünnete võimalikkust lähtuvalt ajakohasest teadmisest. Süsteemi arengu jooksul võib olla vajadus hakata arvestama varasemast võimekama ründajaga, kellel on (näiteks tehno- loogia arengu tõttu) parem võimekus andmete taasisikustamiseks. Sel juhul tuleb analüüsi vastavalt uuendada. Teavet rünnete võimalikkusest on otstarbekas hallata organisatsiooni teadmuse baasis (vt peatükk 3.4.3).
  15. Erista tõsisemad ohud, millele on kaitsemeetmeid vaja. Tuleta rünnete võimalikkuse ja mõju- tatud isikute hulga põhjal tõsisemad ohud, mille puhul on lisameetmete kasutamine vajalik.
  16. Dokumenteeri tulem. Mõju- ja riskianalüüsid tuleb koos lähteandmetega dokumenteerida, et neid kasutada elutsükli järgmistes etappides. Soovitused. Privaatsusohtude modelleerimiseks on välja töötatud metoodika nimega LINDDUN [26]. LINDDUN annab struktuuri privaatsusohtude üle arutlemiseks ja sõnastab kategooriad, mil- le kaudu ohtu kirjeldada. Alustajate ja väikesemate süsteemide jaoks on LINDDUNist tehtud ka lihtsustatud versioon LINDDUN GO. Üks privaatsusmõju analüüside standard on ISO/IEC 29134:2017 ( Privacy impact assessment – guidelines) [27]. Teine on NIST SP 800-53A Rev. 5 ( Assessing Security and Privacy Controls in Information Systems and Organizations ) [28]. Euroopa kontekstis on sobilik kasutada ka Prant- susmaa andmekaitseorganisatsiooni CNIL tööriistu, malle ja materjale 20. 3.4.3 Privaatsustehnika teadmuse kogumine ja haldus Selgitus. Privaatsustehnika juurutajal või lahenduste teostajal on soovitav koguda ja hallata tea- vet, mis aitab tal teenuseid ja süsteeme ehitada. See aitab organisatsiooni privaatsusmeetmete alast küpsust tõsta ning säilitada ka juhul, kui süsteemidega töötavad inimesed vahetuvad. Privaatsustehnika rakendamise juhised.
  17. Dokumenteeri privaatsustehnika tegevuste käigus kogutud materjalid ja toodetud tulemid. Organisatsioonil on privaatsuseesmärkide kestliku täitmise jaoks otstarbekas säilitada teh- tud mõjuanalüüsid, riskianalüüsid, õiguslikud analüüsid ning pretsedendid, tehnoloogiate ja teenuste kirjeldused, garantiidokumendid ja sertifikaadid. Lisaks formaalsetele materja- lidele on kasu ka vähemametlikust teabest nagu teiste kasutajate kogemuslood, mis võivad inspireerida uusi rakendusi ja arhitektuure. 20Privacy Impact Assessment (PIA). Internetis kättesaadav: https://www.cnil.fr/en/ privacy-impact-assessment-pia (viimati külastatud 02.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 22 / 138 ID D-16-175 Avalik 3.4.4 Privaatsustehnika seosed info- ja küberturbega Privaatsustehnika protsessid ja tegevused on teostatavad samas taktis info- ja küberturbe te- gevustega. Siiski on oluline mõista, et info- ja küberturbe juhtimine ei taga automaatselt privaat- suseesmärkide saavutamist. Näiteks läbipaistvus ja sekkutavus ei ole turvanõuded. Mõned tur- vatehnoloogiad aitavad saavutada seostamatust, kuid ei aita saavutada minimeerimist. Näiteks pääsuõiguste tagamine ja salvestatud andmete krüpteerimine ei tarvitse saavutada andmetööt- luse minimeerimist. Privaatsustehnika rakendamine, näiteks privaatsuse juhtimissüsteemi raames, sobib samas hästi kokku organisatsiooni infoturbe juhtimissüsteemiga. Näiteks standard ISO/IEC 27701:2019 [ 22] kirjeldab, kuidas standardile ISO/IEC 27001 [ 29] vastavas juhtimissüsteemis juurutada privaat- suse juhtimist. Ka Eesti infoturbestandardis E-ITS on andmekaitse kontseptsioonid rõhutatud. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 23 / 138 ID D-16-175 Avalik 4 Privaatsuskaitse tehnoloogiad 4.1 Privaatsuskaitse tehnoloogiate kategooriad Privaatsuskaitse tehnoloogiate ülevaade on jaotatud kahe kategooria järgi (Joonis 2). Privaatsuskaitse  tehnoloogiad Läbipaistvuse tehnoloogiad Seostamatuse tehnoloogiad Andmete kaitse infosüsteemides ja analüütilisel töötlemisel Identiteedi ja tõendustehingute kaitse Anonüümne side ja tehingud Sekkutavuse tehnoloogiad Joonis 2. Privaatsuskaitse tehnoloogiate jaotus peatükkidesse Esimeses jaotuses on privaatsuseesmärgid, mida tehnoloogiad aitavad saavutada. Suur enamus tänaseid juurutamiskõlbulikke privaatsuskaitse tehnoloogiaid taotleb seostamatust ehk püüab vältida töödeldavate andmete isikustamist anonüümimise ja pseudonüümimise abil. Sellesse kategooriasse kuuluvate küpsete tehnoloogiliste lahenduste suur hulk ja variatsioon nõuab de- tailsemat liigitust. Seostamatuse tehnoloogiaid on märkimisväärselt rohkem ning need jagame kolme eraldi alajaotisesse selle alusel, millise töötlemise käigus nad isikustamist väldivad.
  18. Andmetöötluse privaatsust kaitsevad tehnoloogiad (alajaotis4.2) vähendavat privaatsete and- mete leket sisend- või väljundandmetest või töötlemise protsessi käigus.
  19. Identiteedi privaatsust kaitsevad tehnoloogiad (alajaotis 4.3) tõestavad kuuluvust volitatud rühma või siis isiku üksikuid tunnuseid (nt vanuse tõestamine ilma tervet isikukoodi või sünnipäeva avaldamata).
  20. Kommunikatsiooni privaatsust kaitsevad tehnoloogiad (alajaotis 4.4) tagavad sõnumisaladu- se kaitse ja loovad anonüümse side võimalusi (nt vilepuhujate sidelahendused). Läbipaistvuse (alajaotis 4.5) ja sekkutavuse (alajaotis 4.6) sisuks on andmetöötluse kohta am- mendava info tagamine ja (andmesubjekti) võimalus andmetöötlus katkestada. Nende privaat- suseesmärkide puhul on keerukam eristada tehnoloogiat ja selle rakendust, kuna rakendatav tehnoloogia ei tarvitse olla privaatsusspetsiifiline vaid universaalsem (nt logimine). Lisaks eeldab nende eesmärkide saavutamine ka seda, et organisatsiooni talitlus viiakse kooskõlla privaatsus- põhimõtetega. Seega on nende rakendamine tähtis juba süsteemi loomise varases etapis ning on seega sarnane andmetöötluse minimeerimise printsiibi rakendamisega (vt peatükk 3). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 24 / 138 ID D-16-175 Avalik 4.2 Andmete kaitse infosüsteemides ja analüütilisel töötlemisel 4.2.1 Pseudonüümimine Lihtsustatult: Pseudonüümimine asendab otseselt isikustavad osad andmetes kaudselt isikus- tavatega. Ülevaade ja rakendamine. Pseudonüümimine on andmestikus otseselt identifitseerivate tunnus- te asendamine pseudonüümidega. Need pseudonüümid luuakse algoritmiliselt ning neid on või- malik algsete andmetega siduda ainult lisainfo olemasolul. Seostamiseks vajalik teave või algo- ritmid hoitakse pseudonüümitud andmetest eraldi. Kui kaks andmestikku on pseudonüümitud samade reeglite alusel ja sama võtmega, võib pseudonüümide järgi olla võimalik andmestikke ühendada. Oluline on mõista, et pseudonüümimisena tõlgendavad juristid ja andmeteadlased vahel erine- vaid asju. IKÜMi mõistes saavutavad kõik tehnoloogiad, millest on võimalik andmeid mõistliku pingutusega taasisikustada, pseudonüümimise. Pseudonüümide loomiseks on mitmeid tehnika- id ja siin alajaotises keskendume konkreetsetele tehnilistele viisidele, mis asendavad või eemal- davad otseselt isikustavaid tunnuseid. Pseudonüümimine on üks lihtsamatest privaatsuskaitse tehnoloogiatest. Seetõttu on ta ka vä- ga paljudes kohtades kasutusel. Pseudonüümimiseks selgitatakse välja andmesubjekti otseselt tuvastavad tunnused (n isikukood, nimi, täpne aadress) ning igale subjektile määratakse unikaal- ne kood ehk pseudonüüm. Otseselt tuvastavad tunnused eemaldatakse või üldistatakse (täpne aadress muudetakse kohaliku omavalitsuse, maakonna või riigi täpsusega elukohaks). Tavaliselt jäävad pseudonüümitud andmestikku alles kõik algses valimis olnud isikud. Erinevaid andmestikke on võimalik linkida kolmanda osapoole abil, kellele antakse seosed uni- kaalse tunnuse (identifikaatori) ja sellele vastavate pseudonüümide vahel. Usaldatud osapool, kelleks võib näiteks olla üks andmete vastutavatest töötlejatest, loob unikaalse identifikaatori põhjal seose erinevate pseudonüümide vahel ning väljastab ainult selle seose. Selle järgi saab andmete töötleja andmestikud omavahel siduda. Pseudonüümide genereerimise võimalusi on palju: lihtsamaid ja keerulisemaid. Meetodi valik sõl- tub pseudonüümimse eesmärgist ja andmestiku suurusest. Kõige lihtsam meetod on loenduri- meetod, mille puhul asendatakse ID järjekorranumbriga alates sobivast arvust t. Sellisel juhul puudub loodud pseudonüümi seos algse identifikaatoriga, kuid võib lekkida algse andmestiku kirjete järjekorra kohta (näiteks, kui andmestik on järjestatud perenime või isikukoodi järgi). Kui andmestikus on palju andmeid (mobiilsus, energiatarbimine), ei pruugi see meetod olla kestlik, sest vaja on alles hoida vastavustabelit, mis suurte andmemahtude korral ei ole enam korralikult hallatav. Kui pseudonüümid luua juhuslikult (kasutades näiteks pseudojuhuarvude generaatorit) kaob semantiline seos algse kirjete järjekorraga, aga ka sellel juhul on vaja hoida vastavustabelit ning juhuarvude genereerimisega lisandub vajadus tegeleda kollisioonidega ehk olukorraga, kus juhuslikult luuakse sama arv mitu korda. Pseudonüümide loomiseks on võimalik kasutada ka näiteks krüptograafilist räsifunktsiooni21 või krüpteerimist. Need meetodid on keerulisemad ning vajavad põhjalikumat juurutust, aga ole- nevalt olukorrast võib see mõistlik olla. Nendel juhtudel ei ole vaja hoida vastavustabelit algse identifikaatoriga, sest pseudonüüm on algoritmiliselt loodud identifikaatorit ja salajast võtit ka- 21Krüptograafiline räsifunktsioon saab sisendiks salajase võtme ja väärtuse (pseudonüümimisel identifikaatori) ning väljastab räsi (pseudonüümi). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 25 / 138
Page 2 of 12