7 minute read
Tehnologie pag
Tehnologie 10 greșeli frecvente despre anonimizare
Evoluțiile tehnologice din ultimii ani au crescut constant cererea de date de calitate. În acest context, atât entitățile publice, cât și cele private consideră anonimizarea ca un mijloc de a partaja date fără a aduce atingere drepturilor fundamentale ale persoanelor. Cu toate acestea, pe fondul unei creșteri
Advertisement
continue de popularitate, câteva S concepții greșite legate de anonimizare au
devenit tot mai răspândite. Într-un document comun realizat de EDPS și AEPD - autoritatea pentru protecția datelor din Spania se încearcă dezamorsarea acestor păreri greșite și creșterea gradului de conștientizare privind acceptarea afirmațiilor nefondate legate de tehnologie.
1.„Pseudonimizarea este la fel ca
anonimizarea” – În realitate, pseudonimizarea nu este același lucru ca anonimizarea. GDPR definește „pseudonimizarea” ca fiind „Prelucrarea datelor cu caracter personal într-o asemenea modalitate prin care datele cu caracter personal nu mai pot fi atribuite unor date specifice despre subiect fără a utiliza informații suplimentare, cu condiția ca acestea să fie păstrate separat și supuse unor măsuri tehnice și organizatorice speciale pentru a se asigura că datele cu caracter personal nu sunt atribuite unei persoane naturale identificabile”.
2.„Criptarea este același lucru cu anonimizarea” - Criptarea în sine nu este o tehnica de anonimizare, dar poate fi un puternic instrument de pseudonimizare.
3.„Anonimizarea datelor este
întotdeauna posibilă ” – de fapt nu este întotdeauna posibil să coborâm riscul de reidentificare sub un prag definit anterior, în timp ce păstrăm un set de date util pentru o anumită prelucrare. Anonimizarea este un proces care încearcă să găsească echilibrul corect între reducerea riscului de reidentificare și păstrarea utilității a unui set de date pentru scopul preconizat.
S
4.„Anonimizarea este pentru totdeauna"
- Există riscul ca unele procese de anonimizare să poată fi reluate în viitor. Împrejurările se pot schimba în timp prin apariția de noi inovații tehnologice și disponibilitatea informațiilor suplimentare ar putea compromite anumite procese de anonimizare anterioare.
5.„Anonimizarea reduce întotdeauna probabilitatea de reidentificare a unui
set de date la zero” – În realitate, tehnicile folosite în procesul de anonimizare și modul în care acesta este
6.„Anonimizarea este un concept binar
care nu poate fi măsurat” - este posibilă analiza și aprecierea gradului de anonimizare.
7.„Anonimizarea poate fi complet
automatizată” - deși pot fi utilizate instrumente de automatizare în timpul procesului de anonimizare, trebuie avută în vedere importanța intervenției factorului uman în procesul general de evaluare.
8.„Anonimizarea face datele inutile” – în fapt, un proces adecvat de anonimizare păstrează datele funcționale pentru un scop sau o anumită dată.
9. „Un proces de anonimizare folosit de alții va avea același succes și pentru organizația noastră, cu rezultate
echivalente ” – de regulă procesele de anonimizare trebuie să fie adaptate naturii, sferei, contextului și scopurilor prelucrării, cu riscuri de probabilitate și impact pentru drepturile și libertățile persoane fizice. Anonimizarea nu poate fi aplicată ca pe o rețetă, deoarece contextul (natura, domeniul de aplicare, contextul și scopurile de prelucrare a datelor) sunt diferite de la o împrejurare la alta și de la o organizație la alta.
10. „Nu există niciun risc și nici interesul
de a afla la cine se referă aceste date” –să nu uităm că indiferent de natura lor, datele personale au o valoare în sine, pentru indivizii înșiși și pentru terțe părți. Reidentificarea unui individul ar putea avea un impact serios pentru drepturile și libertățile sale.
Sursa:https://edps.europa.eu/dataprotection/ourwork/publications/papers/aepd-edps-jointpaper-10-misunderstandings-related_en
Avansul tehnologilor de comunicații a fost categoric marcat de ”cursa pentru 5G” și impactul pe care îl poate avea asupra economiilor și societăților. Drumul către 5G a început în 2015 și astăzi este tehnologia mobilă cu cea mai rapidă creștere, cu operațiuni comerciale în direct pe 24 de piețe.
Oferind o viteză mai mare în transmisii, o latență mai mică, un control mai bun asupra aplicațiilor conectate de la distanță și capacitatea în timp real de a detecta și răspunde, 5G permite conectivitate instantanee la miliarde de dispozitive. Deși rețelele 5G alimentează deja inovarea și sporesc performanța într-o serie de industrii, prin această inovație a fost indus un risc crescut pentru confidențialitatea și protecția datelor.
Datorită capacității sale de a crea un mediu hiperconectat în care nu toate rețelele și dispozitivele sunt construite cu măsuri sau reglementări de securitate egale, șansele de fraudă online, încălcare a datelor, furt de identitate și atacuri de ransomware sunt mai mari. Pe măsură ce ne apropiem de mai multe lansări comerciale în toate sectoarele, este important să fie luată în considerare o abordare a confidențialității prin proiectare și să fie dezvoltate acțiuni concrete care să protejeze datele și să asigure confidențialitatea. Într-o lume bazată pe 5G, infrastructura de rețea se îndepărtează de la modelul unei rețele centralizate, bazată pe hardware, către o rețea descentralizată, virtuală și definită de software (SDN). Rețelele anterioare au funcționat cu puncte de conectare fizice unde se fac verificări de securitate; totuși, într-o rețea definită de
S
software, funcțiile de rețea virtualizate (VNF) au loc la marginea rețelei virtuale, eliminând astfel punctele de inspecție și control. Fără limite fizice și o rețea 5G care utilizează stocarea datelor bazată pe Cloud, există o mare probabilitate ca operatorilor să le fie greu să controleze datele utilizatorilor stocate în mediile Cloud.
Pentru a putea beneficia pe deplin de oportunitățile pe care le prezintă 5G, este important să se ia în considerare o abordare a confidențialității ”by design” și să se elaboreze instrumentele care să protejeze organizațiile împotriva atacurilor. Întrucât 5G depășește limitele a ceea ce este posibil cu tehnologia rețelei mobile, trebuie adoptate noi reglementări și linii directoare care definesc modul în care funcționează rețelele 5G, în primul rând deoarece utilizarea rețelei 5G va avea un impact asupra mai multor organizații și persoane.
Pentru o rețea superioară 5G, organizațiile trebuie să fie pregătite cu soluții bazate pe standarde ridicate de securitate cibernetică și cele mai bune practici de confidențialitate pentru a elibera cu adevărat potențialul pe care îl oferă.
Autorul articolului original: Barry Cook, Group Data Protection Officer, VFS Global https://www.analyticsinsight.net/build ing-privacy-into-5g-technologycannot-be-an-afterthought/
Un ghid cu valoare de standard pentru furnizorii de servicii Cloud
Cloud Security Alliance Code of Conduct for GDPR Compliance
De la bun început, prevederile GDPR au pus o presiune suplimentară pe furnizorii de soluții și servicii Cloud, care la vremea aprobării Regulamentului UE 679 mai aveau încă probleme de credibilitate din partea celor care voiau să știe exact unde sunt datele lor… În plus, încrederea utilizatorilor în garanțiile de Securitate oferite de găzduirea datelor în Cloud a frânat multă vreme asimilarea mai accelerată a Cloud-ului în mediile enterprise.
Dar ceea ce părea la un moment dat ca o mare problemă privind conformitatea serviciilor Cloud s-a transformat într-un cert avantaj competițional. Asociația profesională Cloud Security Alliance, prin grupul de lucru PLA WG (Privacy Level Agreement Working Group) a elaborat în mai 2019 un Cod de Conduită care reprezintă primul model de cadru coerent și cuprinzător de conformitate la nivelul unei întregi verticale industriale. Acest Cod de Conduită (Code-ofConduct sau CoC) îi ajută pe furnizorii de servicii Cloud (Cloud Service Providers – CSP) să stabilească nivelul de protecție pe care trebuie să îl asigure și oferă clienților care folosesc subscripții Cloud un instrument de evaluare a nivelului de protecție a datelor cu caracter personal oferit de un CSP.
S
CSA CoC pentru conformitatea GDPR se bazează pe două componente majore: Codul de bune practici al Privacy Level Agreement (PLA CoP), care este un standard tehnic care specifică cerințele incluse în GDPR, precum și mecanismele de aderare asociate acestuia. Deoarece Codul de Conduită se concentrează în principal pe cerințele legale, CSA propune adoptarea combinată a acestui cod cu alte bune practici și certificări CSA, cum ar fi Cloud Control Matrix (CCM) și certificarea STAR (sau atestarea STAR sau evaluarea STAR SelfMatrix), care oferă îndrumări suplimentare în ceea ce privește controalele tehnice și obiectivele pentru securitatea informațiilor. Într-un astfel de context, adoptarea standardelor de securitate a informațiilor tehnice, cum ar fi Cloud Control Matrix sau echivalentele sale (de exemplu, ISO 27001 acceptat de ISO 27017 sau 27018) și schemele de certificare aferente acestora (de exemplu: certificarea STAR, atestarea STAR, autoevaluarea STAR, ISO 27001 sau SOC2) vor furniza dovezi că furnizorii de Cloud au implementat un program de securitate sau un sistem de management al securității informațiilor (ISMS) care protejează în mod adecvat datele consumatorilor de amenințările evidențiate în aceste evaluări ale riscurilor și evaluarea impactului asupra protecției datelor. CSA CoC pentru conformitatea GDPR reflectă cerințele GDPR relevante în Cloud și este o componentă a CSA Security, Transparency and Assurance Registry (STAR). Publicul țintă al CSA CoC include toți jucătorii interesați de Cloud computing și legislația UE privind protecția datelor cu caracter personal, cum ar fi furnizorii de Cloud, clienții Cloud și potențialii clienți precum și auditori și brokeri Cloud. Este important de reținut că aderarea la Codul de conduită CSA nu reduce responsabilitatea operatorului sau a procesorului de a se conforma GDPR și nu aduce atingere sarcinilor și competențelor Autorităților naționale de protecție a datelor.
