Privaatsuskaitse%20tehnoloogiate%20kontseptsioon%20%281%29.pdf

Type: Document | Status: ready
← All sources

ID D-16-175 Avalik sutades. Võimalik on kasutada ka ilma võtmeta räsifunktsiooni, aga kui identifikaatori domeen on struk- tuurne ja piiratud (näiteks isikukoodid), on räsid igaühel võimalik jõuründega (läbiproovimise teel) arvutada. Teades isikukoodi koostamise reegleid ja seda, mis räsifunktsiooni on kasutatud, on see kõigi Eesti isikukoodide puhul tehtav vähem kui ühe päevaga, millest enamuse võtab vasta- va andmetöötlusülesande programmeerimine. Kui räsifunktsioon ei ole teada, võtab kõigepealt aega räsifunktsiooni väljauurimine, aga ka see on pigem paari päeva küsimus. Krüptograafiline räsifunktsioon kaitseb selle ründe eest, sest siis peab ründaja jõurünnet teostama kõikide võima- like salajaste võtmete kohta ja see taandub juba vastava krüptosüsteemi murdmise ülesandele, mis on tõestatult raske. Pseudonüümida saab mitmesuguseid andmeid, näiteks teksti 22,23 pilte ja videomaterjali24. Selli- ne töötlemine võib saavutada väljundina teksti, pildi või video, mida ei saa isikustada, kuid sellist garantiid ei saa rikkaliku meediumi nagu tekst, kõne, pilt või video puhul anda. Turvagarantiid ja jääkriskid. Ainult pseudonüümimine ei taga andmesubjektide privaatsust, sest Internetist paljude inimeste kohta kergesti kättesaadav lisainfo võimaldab inimesi suure tõenäo- susega lihtsalt taasisikustada ilma pseudonüümimiseks kasutatud algoritme ja võtmeid teadma- ta. IKÜM-i mõistes on need andmed taasisikustatavad, seega kehtivad pseudonüümitud andme- te töötlemisele samad nõuded nagu isikustatud andmete töötlemisele. Pseudonüümitud andmekogu ründaja eesmärgiks on tavaliselt ühe või mitme kirje taasisikus- tamine. Lihtsam rünne on aga pseudonüümi taga oleva isiku kohta vähemalt ühe omaduse tu- vastamine (”kõigi aines osalenud naiste eksamitulemused olid kõrged”). See ei pruugi lõppeda taasisikustamisega, aga võib olla piisav, et isikut mingil moel diskrimineerida. Näiteks võtame juhu, kus aines käis kümme inimest, kellest kaks olid naised ja mõlema naise eksamitulemused olid kõrged (95 ja 92). Meeste eksamitulemused olid ka üldiselt kõrged, aga oli kaks meest, kel- le tulemused olid madalad (65 ja 58). Kui eksamitulemused on avaldatud ilma identifikaatorita (andmestikus on ainult sugu ja hinne) ja tööandjale on teada, et kandidaadid käisid selles aines, siis on kandidaatidest võimalik eelistada naisi, sest on teada, et mõlema naise eksamitulemus oli kõrge, kuigi leidus ka mehi, kelle eksamitulemused olid sama head. Juhised rakendajale. Pseudonüümimise rakendaja peab esimese sammuna teadvustama mee- todi piiranguid – et tulemina saadud andmetele tuleb tagada sama kaitstuse tase kui isikustatud andmetele. Kui see on vastuvõetav, siis järgmine samm on otsustada, millise meetodiga pseudo- nüümitakse. Üks võimalus on juurutada pseudonüümimine globaalselt. Näiteks organisatsiooni- ülese pseudonüümimise süsteemi puhul asendatakse kõikides infosüsteemides isikustatud tun- nused sama pseudonüümiga. Pseudonüümitud andmete jagamisega kaasnevad tavaliselt korralduslikud meetmed, näiteks konfidentsiaalsuslepingud. Kui asutus on andmete vastutav töötleja, on allkirjastavad andme- tega töötajad tavaliselt konfidentsiaalsuslepingu. On selge, et asutuse põhitoimingud vajavad, et töötajatel oleks juurdepääs isikustatud andmetele (haiglad, Tervisekassa, politsei, koolid). Aga ka selliste asutuste sees on statistika tegemiseks soovitav kasutada pseudonüümitud andmeid, sest see vastab töötluse minimeerimise nõudele (isikukood ja nimi ei ole statistika mõttes oluli- sed tunnused). Näiteks on võimalik tööd teha operatiivbaasi peal ja statistika jaoks luua pseu- donüümitud andmeladu. Teadusuuringute tegemisel kasutatakse ka pseudonüümimist, sest siis jääb andmestikku alles 22Private AI. https://www.private-ai.com (viimati külastatud 27 .02.2023). 23Teksti anonüümija. https://github.com/orgs/buerokratt/projects/25 (viimati külastatud 27 .02.2023). 24Google Magritte. https://github.com/google/magritte (viimati külastatud 27 .02.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 26 / 138 ID D-16-175 Avalik võimalikult palju isikuid. Sellisel juhul (eriti tervise- ja sotsiaalandmete puhul) eelneb andmeväl- jastusele tavaliselt eetikakomitee hinnangu taotlus, kus on ära põhjendatud, miks andmeid ana- lüüsitakse, ning kes andmeid näevad. Kui eetikakomitee on nõusoleku andnud, allkirjastatakse konfidentsiaalsusleping, kus teadlased lubavad, et nad ei otsi pseudonüümitud andmestikust üksikisiku andmeid välja ning ei ürita andmestikku osaliselt või täielikult taasisikustada. Ka siin on konfidentsiaalsusleping lisameede, millega leevendatakse taasisikustamise riski. Avaandmete puhul sellisel tasemel korralduslikke meetmeid kasutada ei saa. Pseudonüümimi- ne ei ole sobilik vahend avaandmete loomiseks, sest ei ole võimalik tagada, et keegi ei suuda pseudonüüme hiljem taasisikustada. Pseudonüümimise kohta on juhendmaterjale avaldanud ENISA [ 30, 31]. Õiguslikud aspektid. Pseudonüümitud andmeid, mida saaks füüsilise isikuga seostada täienda- va teabe abil, tuleks käsitada teabena tuvastatava füüsilise isiku kohta. Füüsilise isiku tuvasta- tavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, nt teiste hulgast esiletoomine. Selleks, et teha kindlaks, kas füüsilise isiku tuvastamiseks võetak- se mõistliku tõenäosusega meetmeid, tuleks arvestada kõiki objektiivseid tegureid, nt tuvasta- mise maksumus ja selleks vajalik aeg, võttes arvesse nii andmete töötlemise ajal kättesaadavat tehnoloogiat kui ka tehnoloogilisi arenguid. (IKÜM, pp 26) IKÜMi pp 29 kohaselt selleks, et luua stiimuleid pseudonüümimise kasutamiseks isikuandmete töötlemisel, peaks samal vastutaval töötlejal olema võimalik kasutada pseudonüümimismeet- meid, mis võimaldavad samal ajal üldist analüüsi, kui vastutav töötleja on võtnud tehnilised ja korralduslikud meetmed, mis on vajalikud, et tagada asjaomase andmetöötluse tegemisel käes- oleva määruse rakendamine, ning sellise täiendava teabe, mis võimaldab isikuandmeid seostada konkreetse andmesubjektiga, eraldi hoidmise. Andmeid töötlev vastutav töötleja peaks tähen- dama sama vastutava töötleja volitatud isikuid. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 27 / 138 ID D-16-175 Avalik Pseudonüümimine ANDMED Inglise keeles: pseudonymisation Lühidalt: Pseudonüümimine asendab otseselt isikustavad osad andmetes kaudselt isikustavatega. Arenduse keerukus: madal Ülalpidamise keerukus: madal Täpsus: kadudega (isikustavaid väärtuseid eemaldatakse) Privaatsusgarantii: tõestatavat privaatsusgarantiid ei ole Tehnoloogia küpsus: kõrge Ülevaatlik mudel: Andmebaas Isikustavate tunnuste asendamine pseudonüümitud tunnustega ⬆ Privaatsus Pseudonüümitud andmekogu ⬆ Privaatsus Tuvastamiseks vajalik teave eraldatakse Taasisikustamiseks vajalik teave ⬆ Risk privaatsusele Turvaeeldused ja jääkriskid:

  1. Turvaeeldus: pseudonüümimise algoritmis on juhuslik komponent.
  2. Turvaeeldus: juurdepääs taasisikustamist võimaldavale teabele on tugevalt piiratud.
  3. Turvaeeldus: pseudonüümitud andmestiku töötleja tegevus on piiratud.
  4. Jääkrisk: ka siis kui kõik see on tehtud, on taa- sisikustamise risk kõrge. Rakendusvõimalused:
  5. Andmete avaldamine teadustööks (väga kõrge riskiga)
  6. Andmete linkimise teenus (väga kõrge riskiga)
  7. Asutusesiseste andmeladude loomine statistika ja uuringute jaoks Õiguspraktika:
  8. Pseodonüümitud andmeid käsitletakse and- mekaitse õiguses kui isikuandmeid. Tuntumad rakendused:
  9. X-tee kodeerimiskeskus
  10. Sotsiaalministeeriumi haldusala kodeerimiskes- kus
  11. Tartu Ülikooli Eesti Geenivaramu kodeerimiskes- kus Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 28 / 138 ID D-16-175 Avalik 4.2.2 Anonüümimine Lihtsustatult. Anonüümimine on protsess, mille kaudu isikustatav teave muudetakse mitteisikustavaks. Ülevaade ja rakendamine. Anonüümimine on protsess, millega isikutuvastusteave (isikukood, nimi, muu komplekt tunnuseid, mis määravad isiku üheselt) eemaldatakse andmestikust või muudetakse nii, et isikut ei saa mitte keegi otse ega kaudselt tuvastada (isegi mitte andmete vastutav töötleja ega anonüümija ise). Seega, kui kuskil (ükskõik kelle käes) on võti või tabel, mille abil on võimalik andmestik taasisikustada, siis on tegemist pseudonüümimise mitte anonüümimisega. Kui andmestikust eemaldada isikukood, nimi ja aadress, ning anda igale isikule juhuslik kood (näiteks unikaalne ID uues andmebaasitabelis), siis ei ole tegemist anonüümimisega. Andmed on mõne osapoole jaoks anonüümsed (või anonüümitud), kui see osapool ei suuda mõistliku pingutusega andmetest ühtegi isikut tuvastada. Anonüümimise puhul ei tohi olla võimalik luua seost algse andmebaasikirje ja anonüümitud andmebaasikirje vahel. Kui taasisikustamine ei ole võimalik, ei ole enam tegemist isikuandmetega ja seetõttu ei kuulu selliste andmete töötlemine ka IKÜMi kohaldamisalasse. Seda, kas taasisikustamine on võimalik või kui anonüümne on konkreetne andmeobjekt, saab hinnata ainult juhtumipõhiselt. Võib esineda ka olukordasid, kus vastutav töötleja avaldab või edastab kolmandale isikule andmed, mis on töödeldud selliseks, et need on kolmandate isikute jaoks anonüümsed, st et kolmandatel isikutel ei ole võimalik andmesubjekti tuvastada. Kui vastutavale töötlejale jääb see võimalus alles, siis tema vaatest on tegemist endiselt isikuandmetega. Sellises olukorras peab vastutav töötleja tagama, et ta järgib kõiki isikuandmete kaitse reegleid ja et kolmandatel isikutel ei ole tõepoolest võimalik andmeid taasisikustada. Anonüümimise protsessis ei piisa sellest, et lihtsalt isiku identifikaatorid eemaldada, kuna kõigil isikutel on olemas kvaasi-identifikaatorid. Kvaasi-identifikaatorid on tunnused, mille abil on võimalik isik tuvastada, kui neid koos vaadata. Tunnuseid, mis komplektina võivad moodustada kvaasi-identifikaatorid, on väga keeruline andmestikus kindlaks määrata ning need sõltuvad mite ainult tunnustest vaid ka andmetest konkreetses andmestikus. Näiteks võivad sugu ja haridustase väikese asula andmestikus olla kvaasi- identifikaatorid, samas kui mõne suure linna andmestikus ei ole nende tunnuste järgi võimalik kedagi üheselt määrata. Aga kui andmestik sisaldab ka näiteks ülikooli nime, eriala ja lõpetamise aastat, võivad need tunnused kõrgemates õppeastmetes jälle moodustada kvaasi-identifikaatorid. Kuna anonüümimise protsess on lõplik ning ei tohi olla pööratav, tuleb arvestada, et selle tehnoloogia kasutamise puhul ei saa isikuid neid puudutavatest leidudest teavitada. Näiteks on võimalik rääkida üldi- selt, et sellise profiiliga inimestel on oht sattuda haiglasse järgmise poole aasta jooksul, aga pole võimalik isikut otse informeerida, et ta uuringutele läheks. Anonüümimise meetodid jagunevad kaheks: juhuslikkuse lisamine ja üldistamine. Võimalik on kasutada mitut meetodit, näiteks üldistamist, täpsuse vähendamist ja kategoriseerimist andmestiku ettevalmista- miseks ja siis agregeerimist k-anonüümsuse saavutamiseks. Vahel piirdutakse ka ettevalmistavate mee- toditega, aga sellisel juhul on taasisikustamise risk kõrge. Juhuslikkuse lisamise alla kuuluvad näiteks müra lisamine ja tunnuse sees väärtuste permuteerimine. Mõlemad nimetatud meetodid on pigem täiendavad mitte piisavad anonüümsuse saavutamiseks. Müra lisamine muudab tunnuse väärtuseid nii, et need on vähem täpsed (näiteks muuta iga inimese kaalu +/−5 kg). Selle protsessi jooksul üritatakse säilitada üldist tunnuse jaotust. Lisatud müra hulk sõltub sellest, kui oluline on see tunnus analüüsis ning kui suur on mõju inimese privaatsusele, kui see tunnus avalikusta- takse. Kui lisada semantiliselt ebarealistlik kogus müra, siis seda on võimalik välja filtreerida (näiteks kui pikkus meetrites, aga müra lisatakse nii nagu baasis oleks pikkuse andmed sentimeetrites). Tunnuse sees väärtuste permuteerimise puhul seotakse väärtused erinevate inimestega. Sellise väärtus- te segamise puhul jääb alles täpsed tunnuste jaotused ning vahemikud, kahjuks aga kaovad tunnusteva- helised seosed (näiteks haiglasse kirjutamise põhjus, sümptomid ja osakond) või korrelatsioonid (näiteks kaalu ja pikkuse vaheline korrelatsioon). Nendele korrelatsioonidele tuginedes saab ründaja kindlaks teha, millised tunnused on permuteeritud ning osaliselt taastada algse järjestuse. Võimalik on väärtusi permu- teerida nii, et seosed säiliksid, aga see on keerulisem ning võib suurendada taasisikustamise tõenäosust. Üldistamine võib olla näiteks täpsuse vähendamine, kategoriseerimine või agregeerimine. Näiteks on või- Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 29 / 138

ID D-16-175 Avalik malik vähendada tunnuse väärtuste detailsust (täpse aadressi asemel kasutatakse kohaliku omavalitsuse täpsust), täpsed väärtused asendada väärtusvahemike või intervallidega (täpse vanuse asemel kasuta- da vanusegruppe) ning väärtused grupeerida (täpse ametinimetuse asemel kasutada ametigruppe na- gu näiteks tippspetsialistid, tehnikud ja keskastme spetsialistid, teenindus- ja müügitöötajad, juhid). Ka pseudonüümimise protsessis kasutatakse tihti anonüümimise meetodeid, näiteks tunnuste üldistamist või täpsuse vähendamist. Pärast müra lisamist või üldistamist on mõistlik kasutada k-anonüümimist. k-anonüümsuse definitsioon il- mus teaduskirjanduses esimest korda 2007 . aastal [32], ning see tähendab, et iga kvaasi-identifikaatorite kombinatsioonile vastab anonüümitud andmestikus vähemalt k isikut. Mida suurem on k, seda paremini on isikute privaatsus kaitstud, aga seda vähem andmeid jõuab anonüümitud andmebaasi, sest kõik unikaal- sed kirjed eemaldatakse. k-anonüümsuse saavutamiseks, esmalt tuvastatakse kvaasi-identifikaatorid ning nende põhjal grupeeritakse iga isik vähemalt k − 1 teise isikuga. Kahjuks kasvab selle probleemi keerukus ning ajamahukus kvaasi-identifikaatorite arvu suhtes. Kuna ka k-anonüümsus ei vähenda alati piisavalt taasidentifitseerimise riski, lisatakse sellele meetodile veel l-hajutus ja t-lähedus. l-hajutus laiendab k-anonüümsust, lisades sinna kontrolli, et igas grupis oleks igal tunnusel vähemalt l erinevat väärtust. Kahjuks see meetod ei tööta hästi, kui tunnused grupis on ebaühtlase jaotusega (mõnda väärtust on palju ja teisi vähem kui l) või on väheste väärtuste arvuga (näiteks sugu). t-lähedus laiendab l-hajutust, nõudes et igas grupis oleks vähemalt l erinevat väärtust ja iga väärtus peab esinema nii mitu korda, et iga tunnuse jaotus vastaks jaotusele algses andmestikus. Juhtumianalüüsina on heaks näiteks LEOSS projekt 25 (Lean European Open Survey on SARS-CoV-2 In- fected Patients), mis on üle 10 000 patsiendi anonüümitud avaandmetega register COVID-19 seotud epi- demioloogiliste ja kliiniliste uuringute toetamiseks. 26 Anonüümimise läbiviimiseks kasutati anonüümimis- tööriista ARX 27. Enne andmete anonüümimist hinnati nende avaldamisega seotud riske ja viidi läbi iteratiivne testanonüü- mimine sünteetiliste andmete peal. Selle käigus hinnati, kui suur on iga vaadeldava tunnusega seostatud tagasituvastamise risk, ning sõnastati anonüümitud andmetele järgmised nõuded: suurima riskiga atri- buutide juures peab rakendama k-anonüümimist ( k = 11 ), eemaldada tuleb suure t-lähedusega ( t < 0.5) tundlikud tunnused/atribuudid ning erandlikud väärtused. Lisaks tuli veenduda, et vastavad nõuded keh- tivad andmete pideval lisamisel [ 33]. Turvagarantiid ja jääkriskid. Põhilisteks rünneteks anonüümitud andmestikele on välja otsimine, seosta- mine ja järeldamine. Välja otsimine on ühe isiku osade või kõikide väärtuste tuvastamine andmestikust ning on seetõttu kõige suurema privaatsusriive riskiga. Seostamine on ründaja võime seostada vähemalt kaks sama isiku või grupi kirjet samas andmestikus või erinevates andmestikes. Järeldamine on teiste tun- nuste põhjal tunnuse väärtuse äraarvamine piisavalt suure tõenäosusega. Kaks viimast rünnet ei tuvasta otseselt andmebaasis üksikisikut, aga nende abil on isiku kohta võimalik midagi teada saada. Juhuslikkuse lisamise puhul on välja otsimine võimalik, aga tulemused on vähem usaldusväärsed (on tõe- näosus, et tunnuse väärtust on teatud ulatuses muudetud). Seostamine on ka võimalik, aga on võimalus, et päris kirje seostatakse ekslikult müraga. Järeldamine võib ka olla võimalik, aga õnnestumistõenäosus on madalam. Korrektselt saavutatud k-anonüümsuse puhul ei tohiks olla võimalik isikut andmestikust välja otsida. Seostamine on võimalik, aga piiratud võimekusega. Järeldusrünne on võimalik, näiteks juhul kui kõik k isikut on samas grupis ja ründaja teab, millisesse gruppi isik kuulub (näiteks kui grupis, kuhu isik kuulub, on kõikide inimeste palgad vahemikus 2500-3000 eurot). l-hajutus tegeleb sellega, et deterministlik järel- dusrünne ei oleks võimalik, nõudes, et igal tunnusel esineks vähemalt l erinevat väärtust. See muudab järeldusründe tõenäosuslikuks. Ebapiisavalt anonüümitud avaandmete taasisikustamist on näidatud mitmel pool maailmas [ 34, 35], eriti kui ründajal on võimalik andmestikku piiramatult ühendada teiste olemasolevate andmestikega, mis taa- sidentifitseerimist lihtsustavad. 25https://leoss.net (viimati külastatud 02.03.2023). 26https://leoss.net/data (viimati külastatud 02.03.2023). 27ARX – Data Anonymization Tool https://arx.deidentifier.org (viimati külastatud 02.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 30 / 138 ID D-16-175 Avalik Juhised rakendajale. Väga oluline on, et anonüümija tunneks andmestikku hästi. Siis on võimalik valida korralik komplekt kvaasi-identifikaatoreid. On olemas tööriistu, mis selle valikuga toetavad, aga kuna see on väga töömahukas, siis hea andmestiku tundmine tõstab edu tõenäosust. Juhuslikkuse lisamist ja üldistamist on mõistlik kasutada ainult lisameetoditena (näiteks, et andmestikku k-anonüümimiseks ette valmistada). k-anonüümimise puhul on oluline, et parameeter k oleks hästi valitud. Kuna tulemist kustutatakse kõik kirjed, mida ei ole piisavalt palju, et moodustada k-elemendilist gruppi, siis kui k on liiga suur, võib tulem algset andmestikku halvasti esindada ning analüüsist võivad kaduda olulised andmed. Kui suure k puhul vähendada kvaasi-identifikaatorite arvu, on võimalik k-elemendilisi gruppe lihtsamalt moodustada, aga sellisel juhul risk isikute välja otsimisele suureneb. Kui k on liiga väike, on iga isik grupis statistiliselt liiga oluline ning see võib mõjutada andmeanalüüsi tulemusi. Lisaks, kuna väikeses grupis on tunnustel vähem erinevaid väärtuseid, on lihtsam teha järel- dusründeid. k-anonüümimine ei tööta suuremahuliste andmestike peal (näiteks ostusoovituste ja ostude andmestikel). Õiguslikud aspektid Anonüümimine on selline meetod, mille kohaselt füüsilise isiku tuvastamine ei ole võimalik. Kui siiski füü- silise isiku tuvastamine osutub mingil moel võimalikuks, ei ole tegemist anonüümsete vaid pseudonüü- mitud andmetega, mille puhul rakendatakse isikuandmete kaitse nõudeid. IKÜMi pp 26 kohaselt ei tuleks andmekaitse põhimõtteid kohaldada esiteks, anonüümse teabe suhtes, nimelt teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, ja teiseks, isikuandmete suhtes, mis on muudetud anonüüm- seks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada. IKÜMis ei käsitleta sellise anonüümse teabe töötlemist, sh statistilisel või uuringute eesmärgil. (IKÜM, pp 26) Kõikide kaitsetehnoloogiate, sh ka anonüümimismeetodite kasutamisel tuleb arvestada, et meetodite kaitsetase võib erineda. Samuti võib erineda ka sama meetodi kasutamine erinevates kontekstides, sõltu- des näiteks teistest kaitsemeetmetest ja nende tasemetest. 28 Privaatsuskaitse tehnoloogiate meetodite õige rakendamise tagamine on võtmeküsimus vastamaks IKÜMi nõuetele. Käesoleval ajal puudub aga süstemaatiline kirjanduse ülevaade PET-ide kohta, mis keskenduks juriidiliste ja tehniliste nõuete ano- nüümsuse taseme hindamisel [ 36]. 28Vt nt anonüümimismeetodite kasutamise problemaatikaid, Bogdanov, D., Siil, T., Infotehnoloogilised võimalused põhiõiguste kaitsel [ 2], lk 476. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 31 / 138 ID D-16-175 Avalik Anonüümimine ANDMED Inglise keeles: anonymisation Lühidalt: Anonüümimise käigus eemaldatakse, muudetakse ning teisendatakse andmestikku nii, et tulemist oleks võimalikult raske või võimatu tuletada isikustatud andmeid. Arenduse keerukus: keskmine Ülalpidamise keerukus: madal Täpsus: ebatäpne (lisatakse müra, eemaldatakse andmeid) Privaatsusgarantii: tõestatavat privaatsusgarantiid ei ole Tehnoloogia küpsus: keskmine Ülevaatlik mudel: Andmekogu Tunnuste eemaldamine, asendamine, mitme kirjete koondamine üheks, müra lisamine ⬆ Privaatsus ⬇ Täpsus Anonüümitud andmekogu ⬆ Privaatsus ⬇ Täpsus Turvaeeldused ja jääkriskid:

  1. Turvaeeldus: anonüümimise teostajal on väga hea ettekujutas andmestiku omadustest.
  2. Turvaeeldus: tuvastatud on otsesed ja kaud- sed, kvaasi-identifikaatorid.
  3. Turvaeeldus: iga tunnuse jaoks on vasta- valt andmetüübile ja jaotusele valitud so- biv tehniline lähenemine.
  4. Turvaeeldus: anonüümitud andmestiku tööt- leja tegevus on piiratud.
  5. Jääkrisk: anonüümimine võib muutuda või- malikuks, kui ründaja saab andmebaasi ühendada lisanduvate andmetega Rakendusvõimalused:
  6. Avaandmete avaldamine
  7. Andmete avaldamine testimiseks või teadustööks
  8. Andmete kasutamine poliitika- või üldistes ana- lüüsides
  9. Andmete kaasamine protsessidesse nagu klien- ditugi ja vigade tuvastus, kus välditakse isiku- te tuvastamist. Õiguspraktika:
  10. Anonüümimine kui tehnoloogia ei tarvitse ala- ti tagada väljundandmestiku anonüümsust IKÜM põhjenduspunkt 26 mõistes. Ano- nüümsuse saavutamiseks tuleb tagada, et isikustatud andmete tuletamine anonüü- mitud andmestikust ei ole mõistliku pin- gutusega võimalik (arvestades võimaliku ründaja vahendeid). Tuntumad rakendused:
  11. EITaF ja Saksamaa Nakkushaiguste liidu avalda- tud LEOSS andmestik Euroopa COVID-19 pat- sientide kohta Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 32 / 138 ID D-16-175 Avalik LEOSS – Euroopa COVID-19 patsientide andmete jagamine anonüümitult Lühidalt: LEOSS on projekt COVID-19 patsientide avaandmete teadlastele kättesaadavaks tegemiseks Teostamise aasta: 2020 Riik: Saksamaa Omanik: Haiglad ja muud terviseasutused Teostaja: Koostööprojekt, mille algatajaks olid EITaF (Emerging Infections Task Force) ja Saksamaa nakkushaiguste selts (German Society for Infectious Diseases) Süsteemi küpsus: püsiv juurutus Privaatsuskaitse tehnoloogiad:
  12. anonüümimine Sobivad kasutusjuhtumid: avaandmed Ülevaatlik mudel: Vajalike tunnuste sisestamine COVID-19 patsiendi andmekirje Terviseasutus LEOSS andmesüsteem Tunnuste eemaldamine asendamine, kirjete koondamine, müra lisamine ⬆︎ Privaatsus ⬇︎ Täpsus Avalik anonüümitud andmekogu Märkimisväärsed omadused:
  13. Andmete anonüümimisele ja avaldamisele eelnes põhjalik riskianalüüs, testanonüümimine sünteesitud andmetel.
  14. Rakendati mitut tehnikat – k-anonüümimist ja t-lähedusega.
  15. Registris on 10 riigist ja enam kui 130 instituudist kogutud patsientide andmed. Anonüümitud andme- baasis on üle 10 000 kirje.
  16. Auhinna Open Data Impact Award kandidaat. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 33 / 138
Page 3 of 12