Perusahaan di Eropa ingin membagikan data pribadi konsumen dengan perusahaan lain atau mengubahnya menjadi aplikasi bisnis tanpa melanggar aturan privasi, tetapi tidak ada konsensus tentang cara menghindari pengungkapan informasi yang berpotensi sensitif tersebut.
Pembatasan privasi dalam Peraturan Perlindungan Data Umum Uni Eropa 2018 pada awalnya menyebabkan perusahaan mempertimbangkan kembali apakah mereka dapat menguangkan data pribadi yang dikumpulkan pada konsumen. Sekarang, beberapa perusahaan mencari cara untuk menghindari pengungkapan data tersebut, termasuk identitas konsumen.
Operator telekomunikasi Austria A1 Telekom Austria, misalnya, menghabiskan dua tahun mengembangkan metode untuk menjaga anonimitas pelanggannya, dan bulan lalu bergabung dengan pasar data yang dijalankan oleh perusahaan teknologi kendaraan HERE Global BV Perusahaan hanya membagikan data lokasi gabungan pada kelompok 20 orang atau lebih dengan perusahaan lain membeli melalui pasar, mengurangi risiko mengidentifikasi individu mana pun.
A1 bergabung dengan pasar untuk menguji apakah ia dapat menjual data lokasinya ke perusahaan yang mengembangkan aplikasi kendaraan dan transportasi, kata Mario Mayerthaler, kepala inovasi pengangkut. Untuk mematuhi GDPR, perusahaan perlu memastikan tidak akan mengekspos data pribadi tentang pelanggan saat berbagi informasi dengan perusahaan lain, katanya.
“GDPR, saya tidak akan mengatakan itu rintangan, tetapi itu benar-benar membutuhkan banyak usaha,” kata Mayerthaler.
Banyak perusahaan tidak yakin bagaimana membuat data anonim dengan benar sehingga tidak mungkin untuk mengidentifikasi seseorang.
“Kami membutuhkan lebih banyak kepastian hukum dan standar teknis tentang cara menganonimkan data sesuai dengan GDPR,” kata Michael Dose, manajer digitalisasi dan inovasi di Federasi Industri Jerman, grup perdagangan berbasis di Berlin yang mewakili lebih dari 100.000 perusahaan di sektor yang berbeda.
Regulator UE telah menjatuhkan sanksi terhadap beberapa perusahaan yang gagal menghapus dengan benar informasi apa pun yang dapat mengidentifikasi seseorang.
Pada 2019, misalnya, otoritas privasi Denmark mendenda perusahaan taksi Taxa 4×35 karena menyimpan data pelanggan lebih lama dari yang diperlukan. Taxa 4×35 mengklaimnya menganonimkan catatan pelanggan, tetapi regulator menemukan perusahaan menghapus nama pelanggan sambil menyimpan data pribadi lainnya. Taxa 4×35 tidak menanggapi permintaan komentar.
Perusahaan perawatan kesehatan dan farmasi sering kali menghapus informasi pengenal dari data yang mereka kumpulkan dalam uji klinis sebelum membagikannya dengan peneliti dan perusahaan lain. Perusahaan perawatan kesehatan AS mengadopsi praktik serupa, dan grup rumah sakit besar AS memulai perusahaan untuk mengumpulkan dan menjual akses ke data anonim mereka untuk tujuan penelitian dan pengembangan obat, The Wall Street Journal telah melaporkan.
Teknik seperti enkripsi atau penggantian informasi identitas dengan kode hash tidak dianggap sebagai tindakan yang cukup kuat untuk sepenuhnya menganonimkan data dan menghapus semua informasi yang dapat diidentifikasi secara pribadi, menurut aturan Eropa, kata Athena Bourka, pakar perlindungan data di Enisa, cybersecurity Eropa. agen.
“Ini sangat sulit. Kemungkinan untuk identifikasi ulang sangat besar, ”kata Bourka.
Meskipun memberikan nama samaran dapat melindungi data, regulator privasi UE masih menganggap informasi itu sendiri sebagai informasi pribadi karena dapat dilacak ke individu, yang berarti GDPR masih berlaku. Perusahaan dapat membuat data menjadi anonim dengan mengubahnya menjadi informasi gabungan, kata Bourka.
Dewan Perlindungan Data Eropa, kelompok payung regulator privasi Eropa, mengatakan tahun lalu bahwa anonimisasi adalah alternatif untuk menghapus data yang tidak lagi dibutuhkan perusahaan. Mereka belum memberikan panduan tentang bagaimana perusahaan seharusnya membuat data anonim dengan benar sehingga GDPR tidak lagi berlaku.
Otoritas Jerman dan Prancis telah menerbitkan rekomendasi untuk membantu perusahaan membuat informasi pribadi dalam data menjadi anonim. Secara terpisah, GDPR mendefinisikan penyamaran sebagai saat perusahaan memproses data pribadi tetapi melindunginya sehingga tidak dapat dilacak ke individu tanpa informasi tambahan. Itu bisa dilakukan dengan kunci enkripsi, misalnya, yang akan memecahkan kode data yang dilindungi.
Teknik pseudonimisasi seperti enkripsi data aman dengan menyembunyikan detail pribadi, tetapi data tersebut masih dapat dihubungkan ke individu, kata Bourka.
Untuk membuat data menjadi anonim, perusahaan harus menilai bagaimana data itu dapat terungkap dalam situasi tertentu, kata Mark Elliot, profesor ilmu data di University of Manchester di Inggris. Dia menyarankan Kantor Statistik Nasional Inggris pada tahun 2016 tentang cara menganonimkan data pribadi seperti biaya hidup dan statistik tenaga kerja, dan melakukan serangan simulasi pada data untuk menguji apakah data tersebut dilindungi dengan benar.
“Jangan fokus pada teknik, fokuslah pada risiko,” katanya dalam email.
Untuk melindungi identitas peserta uji klinis, perusahaan bioteknologi Biogen
Inc.
menggunakan teknologi untuk menyamarkan detail tentang individu dan membagikan paling sedikit datanya dengan peneliti eksternal dan perusahaan lain. Ketika mereka meminta akses ke data uji klinis Biogen, Lukasz Kniola, analis utama perusahaan untuk berbagi data, mengatakan dia meminta detail yang tepat dan hanya membagikan apa yang diperlukan. Jika seorang peneliti tidak membutuhkan informasi tentang kebangsaan atau usia partisipan, misalnya, Pak Kniola tidak akan memasukkannya.
Dalam situasi lain, perusahaan dapat membagikan data pribadi yang dapat mengidentifikasi individu dengan mitra bisnis atau pihak ketiga lainnya tanpa terlebih dahulu menggabungkannya, tetapi mungkin masih menerapkan pengamanan seperti enkripsi.
Seorang peneliti atau perusahaan yang mengakses data Biogen juga harus menandatangani kontrak yang menyetujui untuk tidak mencoba mengidentifikasi peserta uji coba, kata Lee Parker, direktur privasi data perusahaan untuk Eropa.
Menganonimkan data hanya akan menjadi lebih rumit karena komputer yang lebih kuat dan semakin banyaknya informasi pribadi yang tersedia di database online dan di media sosial membuatnya lebih mudah untuk mengidentifikasi orang, kata Pierre-Yves Lastic, konsultan perlindungan data dan mantan wakil kepala privasi di perusahaan farmasi Sanofi
UNTUK
.
Banyak perusahaan mempekerjakan analis statistik eksternal untuk menguji metode mereka dalam membuat data anonim dan memastikan orang yang terampil tidak dapat menghubungkan data ke individu, katanya.
“Satu-satunya cara untuk menurunkan risiko hingga nol adalah dengan tidak pernah membagikan data ini,” kata Kniola.
Tulis ke Catherine Stupp di [email protected]
Diposting oleh : Togel HKG