Innovaatilised privaatsuskaitse tehnoloogiad aitavad andmeid turvaliselt töödelda
Andmete rist- ja taaskasutusel põrkutakse tihti nii õiguslike kui ka infoturbealaste piirangutega, eriti kui töödeldavateks andmeteks on isikuandmed. Selleks, et isikuandmeid ja muid tundlikke andmeid rohkem kuid ohutult ja privaatselt taaskasutada, tuleks senisest enam arendada, katsetada ja kasutusse võtta privaatsust säilitavaid tehnoloogiaid.
Privaatsuskaitse tehnoloogiad (privacy enhancing technologies) on erinevad tehnoloogiad, mis võimaldavad lihtsustatult privaatsust ja konfidentsiaalsust säilitades töödelda andmeid nii, et töötleb vaid see kel lubatud, töödeldakse vaid osas, mis lubatud ning viisil, kus andmed ei leki.
Värskelt valminud uuringus selgitatakse, et sisuliselt võib privaatsuskaitse tehnoloogiate näol olla tegemist info- ja sidetehnoloogiliste meetmete, toodete või teenustega, mille abil kaitstakse privaatsust näiteks teatud andmete välistuse või vähendamisega või isikustatavate andmete tarbetu või soovimatu töötluse vältimisega, säilitades seejuures aga soovitud süsteemi võimed (ehk soovitud eesmärk andmetöötluseks seetõttu ei kannata).
Nende tehnoloogiate abil saab kaitsta nii riigi kui ka ettevõtete käes olevaid andmeid, sh konfidentsiaalset informatsiooni nagu isikuandmeid või äri- ja riigisaladus. Selleks aga, et nii jurist, andmekaitsespetsialist kui ka süvateadmistega IT-spetsialist saaksid rääkida ühes keeles, oli vajalik koondada mudelite kirjeldus, mis võimaldaks mõista nende toimemudeleid ja kaardistaks võimalikud jääkriskid.
Majandus- ja kommunikatsiooniministeerium algataski 2022. a uuringu, millel oli kaks peamist eesmärki:
- saada ülevaade privaatsuskaitse tehnoloogiatest ja üldistest mudelitest (kontseptsioon),
- saada ülevaade Eesti avaliku sektori asutuste kogemustest ja vajadustest privaatsuskaitse tehnoloogiate vallas ning pakkuda välja soovituste ja edasiste tegevuste plaan (teekaart).
Cybernetica AS on uuringu läbiviijana selgitanud valminud kontseptsioonis detailselt nii mudelite sisu kui ka koostanud keerulise jutu kokkuvõtteks lihtsustatud tabelid. See peaks looma hea lähtepinna tehnoloogiate rakendamiseks, lihtsustades nende funktsioonide mõistmist ja selgitades vajalikkust erinevate spetsialistide töös. Ka teekaart on lähtunud reaalsetest vajadustest ja kajastab võimalikke edasisi samme avalikus sektoris, kus keskmeks võivad olla nii sündmusteenused, analüütika kui ka avaandmed.
Kellele on privaatsuskaitse tehnoloogiaid vaja?
Privaatsuskaitse tehnoloogiad aitavad tagada kooskõla andmekaitsealaste nõuetega näiteks teenuste tasandil, samuti aitavad need vältida ebavajalike andmete töötlust (minimaalsus) või võimalikke andmelekkeid (turvalisus). Privaatsuskaitse tehnoloogiate rakendamine lõimitud andmekaitse osana (mida rõhutatakse isikuandmete kaitse üldmääruses) võimaldaks arendada uusi kvaliteetseid e-riigi teenuseid ja viiks meid inimkesksemale e-valitsemisele veelgi lähemale.
Turvaline andmekasutus ja sellel põhinev andmete analüüs pakuks tuge ka riigijuhtidele, et langetada läbimõeldud otsuseid. Nende tehnoloogiate rakendamisel on suur potentsiaal, et andmete kasutamist soodustada — edendades teaduskoostööd ning andmemajanduse kasvu. Sisuliselt aitab privaatsuskaitse tehnoloogiate tõhusam ja laiem rakendamine viia meid turvalisema ja usaldusväärsema digiriigi poole, soodustades innovatsiooni ja ettevõtlust. Nende juurutamisel on ka väga tugev ühiskondlik mõju, tagades nii ka suurema isiku õiguste kaitse.
Kuigi valminud kontseptsioon ja teekaart vajavad edaspidi pidevat uuendamist, sest tehnoloogia muutub ja areneb pidevalt, on neil siiski ka üldine hariv mõju. Just uute tehnoloogiate vastuvõtul on olulisel kohal inimeste reaktsioon, mille juures mängib teadlikkus väga olulist rolli. Kõrgem teadlikkus privaatsuskaitse tehnoloogiatest kasvatab nõudlust kõrgemate standardite järele, vähendades bürokraatiat ja luues uusi ja mugavaid teenuseid kuid teisalt, aidates tagada ka andmetöötluse turvalisust ja tõstes seeläbi kodaniku usaldust andmetöötluse vastu. Seega peaks sisuliselt olema kasu nende rakendamisest erinevatel osapooltel — alustades indiviidi tasandist kuni riigi juhtimiseni välja.
Kus võiks privaatsuskaitse tehnoloogiad rakendada?
Tõhusamaks andmetöötluseks saab näiteks sündmusteenuste rakendamisel töödelda vajalikke andmeid usaldatusväärsetes keskkondades. Samuti võimaldavad privaatsuskaitse tehnoloogiad tundlike andmete pinnalt avaldada avaandmeid nii, et andmete kaitstus oleks tagatud taasidentifitseerimise rünnete vastu võimalikult pikal perioodil. Suurt potentsiaali ja väärtust nähakse ka sünteetilistes andmetes, mille toel on võimalik ehitada sünteetiline digitaalne teisik — testkeskkond, kus töötavad X-tee teenused, kuid mille andmed on juhuslikult sünteesitud isikute kohta ja keda tegelikult olemas ei ole.
Kõige muu kõrval võib osutuda kasulikuks isegi see, kui andmed vesimärgistada ehk olukorras, kus lõpuni ei saagi välistada andmete sattumist kolmanda osapoole kätte saaks iga anonüümimise või diferentsiaalprivaatse avaldamise käigus (viis kuidas tagada päringu vastuste juhuslikkus) andmestiku vesimärgistada erineva müraga. See tagab hilisema andmelekke korral võimaluse jälgida, millise koostööpartneri kaudu andmed lekkisid.
Kokkuvõttes pakutakse asutustega peetud intervjuude põhjal uuringu teekaardis välja mitmeid tegevusi:
- Andmepõhisele riigivalitsemisele saavad privaatsuskaitsetehnoloogiad aidata kaasa näiteks nii, kui luuakse ühilduv platvorm turvaliste ärirakenduste loomiseks sündmusteenuste tarvis. Samuti nähakse privaatsuskaitse tehnoloogiate rakendamisel väärtust poliitikauuringute tegemiseks andmekogudeüleses analüütikas.
- Tulevikukindlate platvormide loomisel aitavad privaatsuskaitse tehnoloogiad logimist pettuste tuvastamiseks ja töökindluse tagamiseks.
- Keskselt osutatavate IT-teenuste arendamisel võib abi olla näiteks sünteetiliste andmete testkeskkonnast, mida saaks rakendada erinevate teenuste tarvis ja mida hallataks kulude kokkuhoiuks keskselt.
- Uute lähenemisviiside juures peetakse oluliseks aga näiteks privaatsuskaitse tehnoloogiate rakendamist piiriülestes teenustes, eraldi tuuakse välja ka neil tehnoloogiatel põhinevaid andmesaatkondi.
- Selleks, et privaatsuskaitse tehnoloogia läheks kasutusse kogu digiriigi kogukonnas, tuleb see integreerida olemasolevatesse standarditesse. Samuti leitakse uuringus oluliseks levitada läbi koolituste teadmust, kuidas isikustatud andmeid anonüümida ning seega turvalisemalt avaldada.
Eeltoodu näitab kokkuvõttes, et privaatsuskaitse tehnoloogiatest on suur abi, et täita Eesti digiühiskonna arengukavas seatud eesmärk — Eesti majandus on uuendusmeelne ja teadmistepõhine, kasutades uusi tehnoloogiaid ja tehes seda inimesekesksete ja tõhusate tehnoloogiate abil. Uuringu detailsem ülevaade avaldatakse ministeeriumi ja kratid.ee veebilehel.
Nele Nisu
Andmete taaskasutuse programmijuht
Majandus- ja Kommunikatsiooniministeerium
