Rozporządzenie RODO - czym jest pseudonimizacja?
E-biznes

Rozporządzenie RODO – czym jest pseudonimizacja?

Najważniejsze zmiany, które wprowadzi 28 maja 2018 roku rozporządzenie RODO zaprezentowaliśmy w poprzednim artykule na naszym blogu (TUTAJ). RODO to jednak coś więcej niż zbiór zasad, które zmienią sposób zbierania i przetwarzania danych. Nowe wymogi unijne wprowadzą również nowe definicje tj. pseudonimizacja.

Czym jest pseudonimizacja?

Nowa dyrektywa europejska określa pseudonimizację jako metodę przetwarzania danych, która – bez dostępu do dodatkowych informacji, utrzymywanych w innym miejscu – uniemożliwia zidentyfikowanie danej osoby. Brzmi skomplikowanie? Na pierwszy rzut oka tak, ale w gruncie rzeczy cały proces dotyczy takiego zabezpieczania danych, aby ich odczytanie i zinterpretowanie wymagało użycia dodatkowej weryfikacji. Nie należy również stawiać na równo pseudonimizacji z anonimizacją, gdyż ten pierwszy proces jest odwracalny. Zaszyfrowane dane muszą zostać na potrzeby przetwarzania odszyfrowane.

Jakie są metody pseudonimizacji?

Grupa Robocza, pracująca przy europejskim rozporządzeniu o ochronie danych osobowych określiła 3 najpopularniejsze metody pseudonimizacji. Są nimi:

  • skróty – metoda polega na skróceniu wybranych wartości z danych, tak aby ich odczytanie uniemożliwiło poprawną identyfikację użytkownika,
  • użycie szyfrującego klucza – stosowanie klucza do szyfrowania i odszyfrowania danych jest bardzo wygodnym rozwiązaniem. Ważne – posiadanie takiego klucza musi być jedyną metodą na odszyfrowanie danych,
  • użycia tokena – tokeny są coraz bardziej powszechne w branży finansowej. Ich działanie jest bardzo proste i polega na uwierzytelnianiu danych ciągiem losowych liczb (generowanych na potrzeby danej operacji). Bez użycia tokena odszyfrowanie danych nie będzie możliwe.

Jakie błędy są najczęściej popełniane przy pseudonimizacji danych?

Kluczowym elementem pseudonimizacji danych jest konieczność zagwarantowania bezpieczeństwa w procesie szyfrowania jak i odczytywania danych, a także ich identyfikowania z konkretnymi użytkownikami. Błędy pojawiają się najczęściej na styku tych procesów. Jednym z nich jest trzymacie klucza szyfrującego razem z danymi, których dotyczy. Dotyczy to również niewłaściwego przechowywania klucza (np. w wersji analogowej).

Innego rodzaju ryzykiem jest stosowanie identycznych kluczy do szyfrowania wielu baz użytkowników. Jeżeli taki klucz wpadnie w niepowołane ręce – jego posiadacz będzie w stanie odszyfrować bardzo dużo danych jednocześnie.

Reklama