Insight

Vil 2020 endelig være året for privatlivsfremmende teknologier?

Privatlivsfremmende teknologier, eller PETs (Engelsk: Privacy Enhancing Technologies), findes, og de kan beskytte personoplysninger og levere forretningsværdi

Lad os starte med, hvad PET er? Tja, som det er tilfældet med mange teknologier, er de blevet defineret på mange måder. En velkendt definition er, at PET er “et sammenhængende system af IKT-foranstaltninger, der beskytter privatlivet ved at reducere personoplysninger eller ved at forhindre uønsket behandling af personoplysninger … uden at det på nogen måde går ud over informationssystemets funktionalitet”. Uanset hvordan PETs defineres, bruger de forskellige midler til at beskytte persondata ved at give anonymitet, pseudonymitet, ”unlinkability” og ”unobservability” af registrerede.

I denne blog vil vi give en kort oversigt over de forskellige kategorier af PETs samt navne på forskellige nye og lovende teknikker. Der er links til læsere, der ønsker at udforske teknikker i dybden, men husk: vi gør det hårde arbejde for jer og vil udgive flere blogge med letforståelige beskrivelser af hver af dem.

Begrænsning for anvendelse

En af de mest almindeligt anvendte tilgange til databeskyttelse er at begrænse adgang til personoplysninger til autoriserede brugere baseret på bestemte foruddefinerede politikker (f.eks. rolle- og nøglebaserede og adgangskontrolpolitikker). Stadig mere kompleks databrug kan gøre det vanskeligt at begrænse adgang til personoplysninger baseret på sådanne politikker alene. En PET, som kan overvinde disse udfordringer er en Attribut-baseret adgangskontrol, som kan overdrage adgangsrettigheder dynamisk ved at tage flere forskellige attributter i anvendelse, såsom rolle, handling eller kontekst (f.eks. tid, enhed eller lokation). En anden måde at begrænse databrug på er et E-samtykkesystem, der tillader registrerede at bestemme hvilke personoplysninger, der kan tilgås af andre. Denne tilgang skal understøttes af et databeskyttelsesspecifikt adgangskontrolsprog, såsom P3P, EPAL, XACML, der tillader onlinetjenesteudbydere at implementere maskinlæsbare databeskyttelsespolitikker.

Kryptering

Selvom kryptering går mindst lige så langt tilbage som romertiden og er inkorporeret i mange teknologier i dag, betyder den moderne udvikling, at endnu mere er muligt. En fremadstormende udvikling er homomorfisk kryptering. Det er en form for kryptering, der tillader beregninger baseret på krypteret data; en meget spændende teknologi, der kan tilbyde forøget beskyttelse ved aldrig at vise personoplysninger i klartekst.

Anonymisering

Anonymisering er en meget vigtig tilgang til beskyttelse af personoplysninger, som enten krypterer eller fjerner identificerbare personoplysninger fra datasæt. På den måde kan brugere uden autorisation kun tilgå datasættet men ikke ”læse” individernes identiteter. Vigtige teknikker inden for denne kategori er Multi Party ComputationDifferential PrivacyFederated AnalysisK-anonymitet og anonymiseringstjenester som Off‐the‐Record MessagingPrivate Information Retrieval og Tor Anonymization Frameworks.

Pseudonymisering

Den generelle databeskyttelsesforordning (GDPR) har en meget lang definition af pseudonymisering, men i hovedtræk betyder det: erstatning af identificerbare personoplysninger med kunstige unikke nøgler. Fra et GDPR-perspektiv, giver pseudonyme data stadig plads til fornyet identifikation af registrerede og forbliver dermed personoplysninger, mens anonymiserede personoplysninger ikke kan identificeres på ny og ville derfor ikke henføre under området for personoplysninger. Pseudonymiseringsmetoder inkluderer følgende teknikker: Scrambling, Masking, Tokenization og Data Blurring.

Hvad bliver det næste?

En række praktiske årsager synes at hæmme implementeringen af PET. Hyppigt nævnte årsager er omkostninger, Legacy-systemer, komplekse organisatoriske processer, mangel på T-formede specialister, opmærksomhed på lovgivning om databeskyttelse, etc. Men det er vores påstand, at med en specialiseret værktøjskasse og en skræddersyet plan for implementering af PET – under hensyntagen til anvendeligheden af datasæt og krav til databeskyttelse – kan mange databeskyttelsespraksisser forbedres. Desuden mener vi, at 2020 endelig kunne være året, hvor dette er inde for rækkevidde for mange organisationer.


Tøv ikke med at kontakte os, hvis du er interesseret i Deloittes Privacy by Design-tjenesteydelser. Vi kan samle et erfarent team af professionelle til en bred vifte af sektorer, som har teknisk, organisatorisk og juridisk ekspertise og kan understøtte jer og jeres indsats på datasikrings- og sikkerhedsområdet. Vi har blandt andet stor erfaring med anvendelse af forskellige typer af privatlivsfremmende teknologier/software også indenfor specifikke industrier såsom FSI.

Fandt du dette nyttigt?