Hae it-yrityksiä
osaamisalueittain:

Tiedon näkyvyyden hallinta

BloggausPseudonymisointi ja anonymisointi kuulostaa varsin puisevalta, mutta kyse on IT:n ja liiketoiminnan yhdestä tärkeimmästä kulmakivestä.

Tätä aihetta miettiessäni pohdin, miten ehdottomasti tärkeästä, mutta ehkä monille ensi alkuun puisevalle tuntuvasta aiheesta saisi mielenkiintoisen ja sujuvan.

Niin kauan kuin on ollut tiedon tallennusmenetelmiä – esimerkkinä normaali kirjoitus — on tarvittu tiedon suojaamista. Kaikkea teksti-informaatiota ei ole haluttu pitää kaikille avoimena, eikä se voi sitä olla. Ennen riitti, että tärkeät dokumentit pidettiin kassakaapissa ja firman sisäisessä tuloslaskelmakaavassa käytettiin outoja termejä. Nykyisessä digiajassa tiedon ollessa kultaa omaan poteroon linnoittautuminen ei toimi.

Pari vuotta sitten Euroopan Unionissa määrättiin yhteinen ja nyt jo hyvin tutunkuuloinen GDPR-tietosuoja-asetus, jonka pyrkimys oli yhtenäistää tietosuojaa koskeva lainsäädäntö EU-alueella. Toki ajattelin tämän olevan pakollinen myös Suomessa, mutta koskettavan Invencoa vain omien asiakastietojen säilytystä koskien.

Kun asiaa alkaa penkoa, huomaa että kyse on laajasta asiasta, joka koskee periaatteessa kaikkia rekisterinpitäjiä. Viimeisen vuoden aikana on ilmennyt useita tilanteita, joissa invencolaisten ammattitaidosta informaation hallinnan alueella on ollut merkittävää hyötyä. Näistä tietojen pseudonymisointi- ja anonymisointi-teeman alle kuuluvista kokemuksista nousevat tämän tarinan ydinajatukset.

VASTAANTULLEITA TILANTEITA

Olemme kohdanneet pari yleistä tilannetta. Yrityksissä tietokannoista vastaavien DBA-henkilöiden tai tietojärjestelmien kehittäjien ja testaajien pitää pystyä työskentelemään tietokantojen ja tietokantataulujen kanssa niin, että tietokannan tai rekisterin henkilötunnustieto (HETU) tai mikään muukaan tieto ei saa johtaa oikeaan luonnolliseen henkilöön.

Samalla esimerkiksi rekisterissä tai kannassa olevan HETUn pitää kuitenkin täyttää sille asetettu muodollinen vaatimus. Sama koskee myös esimerkiksi pankkitilinumeroa tai laskun viitenumeroa. Henkilön tunnistamisen tai maksatuksen tarkistuslaskentojen pitää tietojärjestelmissä mennä oikein, mutta yhtiön sisällä tiedot pitää pystyä pseudonomisoida tai muuten suojata. Normaalisti tässä tapauksessa minkään tunnisteen kautta ei siis saa löytyä yksilöityä henkilöä, kuitenkin niin, että yhteys on palautettavissa tarkasti määritellyille tahoille.

Jos henkilötiedon tai vastaavan salaus pitää pystyä purkamaan, puhutaan pseudonymisoinnista. Jos taas pakittamisen tarvetta ei ole, kyseessä on anonymisointi. Se taas voidaan, tapauksesta riippuen toteuttaa pseudonymisoidusta datasta suoraan hävittämällä tietojen yhteydessä säilytettävät pseudonymisointiin liittyvät aputaulut ja algoritmit. Anonymisoituja tietoja käytetään pääasiassa yleisiin tilastoihin, mistä jo ennen GDPR:ää on Suomessa määrännyt henkilörekisterilaki.

Toinen kohtaamamme tilanne on niin sanottu tiedon elinkaaren hallinta, eli otetaan mukaan aikaulottuvuus. Vielä noin kymmenen vuotta sitten, kun palvelinten ja tietojärjestelmien kapasiteetti oli ”kortilla”, tietojen passivoinnille oli tarvetta suorituskyvyn takia. Nykyisin tietojen säilytys- ja samalla passivointitarve nousee enemmän lakien ja asetusten kautta.

Juurikin nyt pitäisi miettiä, kauanko yritykseni järjestelmissä olevia tämän hetken tietoa pitää ja voidaan säilyttää ja miten suojauksesta huolehditaan. Kun henkilötietoja jossain vaiheessa poistetaan, niin putsausvaiheessakaan suoraan henkilöön viittaavaa tietoa postettavasta informaatiosta ei saa löytyä. On hyvä miettiä, ovatko myös ennen GDPR-aikaa hankitut tiedot lainmukaiset?

TARVITTAVA TEKNIIKKA

Tietokantateknologiat mahdollistava pseudonymisoinnin tai anonymisoinnin kryptausfunktioiden muodossa. Datan kryptaus voidaan tehdä siten, että suojattu tieto on avattavissa dekryptauksella (suojattu sertifikaatilla). Dekryptauksella käyttäjät (esim datan analysoija) saavat käyttöönsä oikeaa dataa. Samassa yhteydessä huolehditaan myös käyttäjien normaalista sisäänkirjautumisen pääsynhallinnasta (kuka pääsee tietokantaan) sekä tietojen luottamuksellisuudesta (NDA).

Kun tekniikka on kunnossa, niin on turvallista käyttää ja hyödyntää myös ulkopuolisia toimijoita. Esimerkiksi kuka tahansa tietokantaan pääsevä voi tehdä ”temppunsa”, mutta ei näe datasisältöä. Tässä yhteydessä saattaa kuulla termin datan maskaus. Se tarkoittaa käytännössä tuota samaa eli esim. kryptausfunktion läpi menevää dataa.

Jos kryptattavan kentän arvoa käytetään vierasavaimena tietokannan taulujen välillä, aiheutuu haasteita. Tässä yhteydessä pitää huolehtia siitä, että datan oikeellisuus säilyy, kun lähdetaulun kentän arvoa käytetään jonkun järjestelmän toimesta. Esimerkkeinä voidaan mainita tilinumero, sen tarkistussummat, postinumero, paikkakunta, maakunta tai sähköpostiosoite. Tässä tarvitaan hyvää järjestelmän ja myös käytettävän teknologian tuntemusta.

MITEN ME VOIMME AUTTAA

Invencolaisilla on pitkä kokemus informaation hallinnasta sekä monista eri tietokantatuotteista ja ETL-prosessien hallinnasta. Olemme toteuttaneet pseudonymisoinnin ja anonymisoinnin hankkeita. Tiedämme käytännön kautta monia tietosuojaan liittyvä ongelmia ja tunnistamme hankaluudet, jotka voivat aiheuttaa laajojakin muutoksia datan hallinnassa.

Tässä pätee sama kuin kaikissa auditoinneissa tai vaikkapa yrityksen verotarkastuksessa. On parempi olla proaktiivisesti tietoinen mahdollisista omista puutteista tietoturvassa ja valmiudessa toimimaan oikein. Sääntö ”On helpompi pyytää anteeksi kuin lupa”, ei toimi henkilötietojen käsittelyn yhteydessä.

Kaikkea ei tarvitse, eikä pystykään tekemään kerralla. Tämänkin alueen tehtävät voidaan palastella ja laitetaan porras kerrallaan rekisterisi kuntoon.

Jos haluat lisätietoa ota yhteyttä:

sakari.pitkasalo(at)invenco.fi, +358 40 700 3849

kari.virkki(at)invenco.fi, +358 40 512 3261

Linkkejä aiheesta:

https://tietosuoja.fi/pseudonymisointi-anonymisointi

https://www.fsd.tuni.fi/aineistonhallinta/fi/tunnisteellisuus-ja-anonymisointi.html

https://www.iab.fi/artikkelit/blogit/henkilotietojen-pseudonymisointi-ai-siis-mika.html

https://blogs.uta.fi/blogilista/tag/pseudonymisointi/

https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_fi

Pinterest
Invenco Oy

Lisätietoja

Yritysprofiili Invenco kotisivut

Tagit

Jos tarjontatagi on sininen, pääset klikkaamalla sen kuvaukseen

Liiketoimintaprosessi

BI ja raportointi

Erikoisosaaminen

Big Data
Tietoturva

Teknologia

IBM
Microsoft
Oracle

Tarjonnan tyyppi

Konsultointi
Toteutustyö
Tuki- ja ylläpitotyö

Omat tagit

tiedon suojaaminen
informaationhallinta
Pseudonymisointi
datan anonymisointi

Siirry yrityksen profiiliin Invenco kotisivut Yrityshaku Referenssihaku Julkaisuhaku

Invenco - Asiantuntijat ja yhteyshenkilöt

Asiantuntijoita ja yhteyshenkilöitä ei ole vielä kuvattu.

Invenco - Muita referenssejä

Invenco - Muita bloggauksia

Digitalisaatio & innovaatiot blogimedia

Blogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä

Tutkimus: julkisen pilven suurimmat tietoturvahaasteet 2020
Tiedonhaku maksaa organisaatioille isoja summia – Ilveshaku on yrityksen sisäinen hakukone, joka vie käyttäjän nopeasti tiedon lähteille
Moni työmailla ahertava kaipaa digitaalista tiedonkeruumenetelmää – “Työ tehostuu, kun asiat hoituvat yhdessä sovelluksessa”

Etusivu Yrityshaku Pikahaku Referenssihaku Julkaisuhaku Blogimedia