What costs should we expect from the EU’s AI Act?
AUTHORS: Meeri HaatajaJoanna J. Bryson
https://osf.io/preprints/socarxiv/8nzb4/
LfDI BW: Whistleblowing slide deck
Datenschutz bei internen Ermittlungen und Hinweisgebersystemen
(Präsentationen der BvD-Herbstkonferenz Datenschutz und Behördentag 2021)
Fides: Privacy taxonomy
“Fides (fee-dhez, Latin: Fidēs) is an open-source tool that allows you to easily declare your systems’ privacy characteristics, track privacy related changes to systems and data in version control, and enforce policies in both your source code and your runtime infrastructure.”
https://github.com/ethyca/fides
with syntax at https://ethyca.github.io/fides/language/syntax/
e.g. “user.provided.identifiable.contact.phone_number”
and a handy *Taxonomy Explorer” at https://ethyca.github.io/fides/language/taxonomy/explorer/
– using Data Categories, Data Uses, Data Subjects and Data Qualifiers
Also overview article at IAPP at https://iapp.org/news/a/privacy-as-code-a-new-taxonomy-for-privacy
A quick primer on Data Mesh
Privacy Design Patterns
Open Diffix anonymization project
Diffix for Desktop targets use cases where a trusted user with access to the original personal data wishes to release anonymized aggregate statistics.
Diffix for Desktop is remarkably easy to use:
- import CSV (of original personal data)
- select columns and amount of generalization
- inspect data quality with summary stats and side-by-side compare with raw data
- export CSV (of anonymized aggregate statistics)
Paper: Re-identifiability of genomic data and the GDPR (Shabani/Marelli)
Shabani/Marelli: “Re-identifiability of genomic data and the GDPR – Assessing the re-identifiability of genomic data in light of the EU General Data Protection Regulation”, in: EMBO Rep (2019)20:e48316
https://pubmed.ncbi.nlm.nih.gov/31126909/
PDF at https://www.ncbi.nlm.nih.gov/pmc/articles/PMC6549023/pdf/EMBR-20-e48316.pdf
State of play: Entwurf von Leitlinien zur “Pseudonymisierung / Anonymisierung” auf EU-Ebene
From SDM-Newsletter Nr. 9, Stand: 4. November 2021:
Die Technology-Subgroup des Europäische Datenschutzausschusses (EDSA) erarbeitet derzeit, unter aktiver Mitarbeit aus Deutschland, Leitlinien zur “Pseudonymisierung / Anonymisierung”. Der aktuelle Entwurf umfasst 65 Seiten; er enthält einen großen Anteil an Auslegungen zur DSGVO und nennt einige Maßnahmen.
Drei Aspekte sind in diesem Entwurf besonders erwähnenswert:
- 1. Die Schutzmaßnahme einer Anonymisierung ist ihrerseits als eine Verarbeitungstätigkeit aufzufassen, die in der Regel mit einem hohen Risiko für Betroffene einhergeht und folglich die Durchführung einer Datenschutzfolgenabschätzung (Art. 35 DSGVO) nach sich zieht.
- 2. Eine Identifizierbarkeit ist nicht nur dann gegeben, wenn eine Person eindeutig anhand ihrer bürgerlichen (Melde-)Daten identifizierbar ist, sondern bereits dann, wenn sich Personen(gruppen) voneinanderunterscheiden lassen.
- 3. Der Verantwortliche ist gefordert, ein explizites Angreifermodell zu formulieren.
Es ist vorgesehen, dass ein SDM-Baustein zur “Pseudonymisierung / Anonymisierung” auf diese Leitline verweisen aber den Schwerpunkt auf die praktische Umsetzbarkeit legen wird. Wann die Arbeiten an den Leitlinien abgeschlossen sein werden, ist nicht abzusehen.
Neuer SDM Baustein 51 „Zugriffe auf Daten, Systeme und Prozesse regeln“
https://www.datenschutz-mv.de/static/DS/Dateien/Datenschutzmodell/Bausteine/SDM-V2.0b_Zugriffe_regeln_V1.0.pdf
via https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/
From announcement:
*** AK-Technik verabschiedet einen weiteren SDM-Baustein ***
Auf der Sitzung am 27.11.2021 hat der Arbeitskreis Technik der Datenschutzbeaufragten des Bundes und der Länder einen weiteren Baustein des Standard-Datenschutzmodells SDM-V2.0b verabschiedet. Es handelt sich um den Baustein “Zugriff auf Daten, Systeme und Prozesse regeln”.
Der Baustein “Zugriff auf Daten, Systeme und Prozesse regeln” ist mit 23 Seiten der bislang umfangreichste Baustein der SDM-Reihe. Er behandelt das anspruchsvolle Problem, die Zweckbindung einer Verarbeitungstätigkeit sicherzustellen, ausgehend von den einzelnen Prozessen und Rollen im Kontext einer Verarbeitungstätigkeit (Geschäftsprozess, Fachverfahren) bis zu den technischen Zugriffsrechten an Daten, Dateien, Verzeichnissen, IT-Systemen oder Prozessen. Es wird ein “fachliches Rollen- und Zuständigkeitkonzept” (RZK) von einem “technischen Rollen und Berechtigungskonzept” (RBK) unterschieden (siehe Abbildung 1 auf S. 2). Zur Differenzierung von Verantwortlichkeit und Zuständigkeiten wird die Nutzung der RACI- bzw. RASCI-Methode nahegelegt.
Damit stehen nun insgesamt neun Bausteine zur Umsetzung der operativen Anforderungen der DSGVO zur Verfügung, die unter den deutschen Datenschutzaufsichtsbehörden abgestimmt sind.
—
Deutschland, Standarddatenschutzmodell
Denmark: DPA offers risk-based guidance for supervising data processors
.. based on a point scale, considering
- How many people? (< 1000 = 1pt, 1.000-10.000 = 2 pt, > 10.000 = 3 pt)
- Special categories of personal information? (Sensitive personal information) (3 pt)
- Other personal data of a nature worthy of protection? (Confidential information) (2 pt)
- Special treatments? (2 pt)
.. resulting in different concepts that can be chosen
(1-2 points -> Concept 1-6, 3-4 points -> Concept 2-6, 5-6 points -> Concept 3-6, 7-10 points -> Concept 5-6)
- Concept 1 – Do not do anything unless you become aware of something wrong with the data processor
- Concept 2 – The data processor confirms – preferably in writing – to you that all requirements in the data processor agreement are still complied with.
- Concept 3 – The data processor provides you annually – either directly or via its website – one written status of matters covered by the data processor agreement and others relevant areas (eg organizational or product changes).
- Concept 4 – The data processor has a relevant and updated certification or follows a so-called code of conduct that is relevant to your processing activities.
- Concept 5 – An independent third party has conducted a documented inspection of the data processor in an area that also covers your treatment activities.
- Concept 6 – You carry out a documented inspection of the data processor yourself – or together with others.