IMY Svédország: GDPR-anonimizálás és az északi szabvány
Svédország Integritetsskyddsmyndigheten (IMY) hatósága érvényesíti a GDPR-t. Technikai szabványokat is megállapít. 2023-as anonimizálási útmutatója az EU-ban a legrészletesebb adatvédelmi hatósági dokumentum ebben a témakörben. Tizenkét másik EU-s adatvédelmi hatóság hivatkozik rá kulcsfontosságú referenciaként. Az IMY 2024-ben 28 végrehajtási határozatot hozott, összesen 8,5 millió euró értékben.
Az IMY anonimizálási keretrendszere
Az IMY útmutatója egy alapszabályt fogalmaz meg: az anonimizálás technikai teszt. Az iránymutatások és a szerződések önmagukban nem teszik anonim módon a rekordokat. Az IMY négy tesztet alkalmaz annak megítélésére, hogy a rekordok valóban anonimek-e.
k-anonimitás: Minden személynek legalább k-1 másikhoz kell hasonlónak lennie az összes kulcsmezőn. Az IMY k≥5-öt állapít meg a kutatási rekordokhoz.
l-diverzitás: Minden csoporton belül az érzékeny mezőknek legalább l különböző értéket kell tartalmazniuk. Ez blokkolja a következtetési támadásokat még akkor is, ha a k-anonimitás teljesül.
Differenciált adatvédelem: Zajt adnak a lekérdezési eredményekhez. Egyetlen személy jelenléte sem észlelhető a kimenetből.
Pszeudoanonimizálás kontra anonimizálás: A pszeudoanonimizálás az azonosítókat kódokra cseréli, de megtart egy visszaállítási kulcsot. Ez GDPR-szabályozott marad. Csak azok a rekordok valóban anonimek, amelyek átmennek mind a négy teszten.
Lásd a GDPR-kompatibilis ML-tanítási adat-anonimizálási útmutatónkat, hogy megtudja, hogyan vonatkoznak ezek a tesztek a MI-munkára.
A svéd joggyakorlási arány
A svéd felnőttek 79%-a él GDPR-jogaival évente. Ez az EU legmagasabb aránya. A legtöbb EU-tagállamban a joggyakorlási kérelmek panaszokból erednek. Svédországban a mindennapok részei.
A svéd felhasználókkal rendelkező vállalatoknak sok hozzáférési kérelmet kell kezelniük. Mindegyikre egy hónapon belül kell válaszolni. A késedelmes válasz IMY-utánkövetést von maga után. Szükséges az összes rendszerben lévő aktuális személyes rekordok rendelkezésre állása.
Personnummer: a svéd azonosítókihívás
A svéd personnummer szinte minden hivatalos svéd dokumentumban megtalálható. Formátuma 10 vagy 12 számjegy (ÉÉVVHH-XXXX). Az IMY felülvizsgálata megállapította, hogy az általános NLP-eszközök 45%-a nem képes felismerni a personnummert.
Formátumváltozatosság: A szám kötőjellel és anélkül is megjelenhet. 10 vagy 12 számjegyű lehet. Az egyik formátumra épített eszközök elmulasztják a másikat.
Luhn-ellenőrzés: Luhn-ellenőrzés nélkül az eszközök minden 10 jegyű karaktersorozatot hamis pozitívként jelölnek meg. Szokatlan formátumú számokat is elmulasztanak.
Samordningsnummer: Ezt a számot a svédországi külföldi illetőségűek számára használják. Ugyanazt a mintát követi, de 60-at ad a születésnapi számjegyekhez (61–91 helyett 01–31). Azok az eszközök, amelyek csak a standard personnummert ismerik fel, elmulasztják a samordningsnummert. Ez a hiányosság fontos azoknak a vállalatoknak, amelyek nem svéd munkavállalókkal vagy ügyfelekkel dolgoznak.
Az IMY álláspontja az MI-képzésről
Az IMY 2024-ben iránymutatást tett közzé a személyes rekordokról az MI-képzésben. Három pont fontos a svéd felhasználókkal rendelkező vállalatok számára.
Először: az „MI-képzés” önmagában nem érvényes GDPR-cél. Egyértelmű és konkrét végcélhoz kell kapcsolódnia.
Másodszor: az MI-képzéshez felhasznált pszeudoanonimizált rekordok GDPR-szabályozottak maradnak. Csak az IMY tesztjein átmenő rekordok használhatók jogalap nélkül.
Harmadszor: a svéd rekordokon MI-modelleket finomhangoló vállalatoknak igazolniuk kell a valódi anonimizálást. Vagy dokumentálniuk kell az egyértelmű jogalapot.
Lásd az EU MI-törvény képzési adat-anonimizálási útmutatónkat, hogy megtudja, hogyan kezelik az EU-s szervek az MI-képzést az egész blokkon belül.
Mit jelent a svéd megfelelőség költségben
A svéd vállalati GDPR-megfelelőség éves átlaga 85 000 euró. A hozzáférési jogokkal kapcsolatos munka és az anonimizálási auditok hajtják ezt a költséget. A személyesadat-felismerés automatizálása az IMY szabványainak megfelelően csökkenti ezt. A kézi ellenőrzések nem képesek lépést tartani Svédország joggyakorlási arányával.
Az IMY keretrendszerére az egész EU-ban hivatkoznak. Szabványainak való megfelelés jó pozícióba hozza a vállalatokat a szélesebb körű EU-s felülvizsgálat szempontjából.