Moderne bygninger er fylt med sensorer for å få til intelligent styring, men når GDPR trer i kraft i mai 2018, så er disse sensorene enda en fallgruve som man må være oppmerksom på.
– Hvis vi ser på kontorer, så kommer det flere og flere sensorer. De enkleste måler bare om det er et menneske til stede eller ikke. Hvis du kjenner til disse dataene og du vet hvem som sitter på det kontoret, så vil det i mange tilfeller være mulig å spore en person, sier Mikkel Baun Kjærgaard, lektor ved Center for Energy Informatics ved Syddansk Universitet (SDU).
Derfor har danske forskere utviklet et verktøy til å gjøre sensordata mer anonyme. Verktøyet kalles PAD (Protecting Anonymity in Publishing Building Related Datasets), og det kan finnes på Github. Formålet er at man finner det beste kompromiss mellom privatliv og optimert, intelligent styring av bygninger.
– Man arbeider med å drifte bygninger basert på hvordan og når brukerne er der. Så det gjelder både varme, elektrisitet, ventilasjon og heiser for den saks skyld, forklarer Kjærgaard, og tilføyer:
– Vi ser en masse firmaer som gjerne vil sette opp sensorer i bygningene sine. Hvis man setter opp disse sensorene kan man risikere at dataene flyter ut til en tredjepart. Med vårt program vil en bygningseier kunne dele anonyme data. Tredjeparten, som skal bruke data, skal fortelle hvilke data han har bruk for. Så aggregerer systemet data, slik at det kan sendes videre.
Slik sørger du for at persondata er i tråd med regelverket
PAD kan samle forskjellige data og lage en rekke profiler som ikke nødvendigvis passer 1-til-1 på ett enkelt lokale, men til gjengjeld fint representerer en stor samling lokaler – eller hva sensorene overvåker.
Ut fra profilen kan man ikke utpeke en enkelt person, men man bør likevel i høy grad kunne videresende tilstrekkelige data til at tredjeparter kan bruke det til å utføre deres oppgaver uten å få kjennskap til hva enkeltpersoner holder på med.
– Vi får et omtrentlig bilde, hvor vi kan holde fatt i bestemte egenskaper. Du mister litt nøyaktighet, men med vårt system kan vi minimere hva du mister, sier Kjærgaard.
Systemet retter altså sin output etter hvilken informasjon som er nødvendig, slik at det kan få et høyt nivå av personvern kombinert med at det samtidig ikke skal gå ut over den daglige driften.
Lest denne? Gleder seg til GDPR. Strengere regler kan bli et fortrinn (Ekstra)
Kun ett av mange spørsmål man må finne ut av før mai
Sensordata omfatter mange forskjellige ting, og benytter man sensorer på klokker eller telefoner blir spørsmålet plutselig mer konkret.
– Det er en del problemstillinger med hensyn til både sensor- og lokasjonsdata. For eksempel, hvis man gir en medarbeider «wearables», kan arbeidsgiveren da samle inn helsedata for dem? spør Kjærgaard.
Hvis man leser rapporter fra Artikkel 29-gruppen så er svaret et øredøvende nei, men som med alt annet GDPR-relatert, så er det ikke helt klart ennå.
Arbeidet fortsetter derfor med forskning på området i både juridisk og teknisk forstand, hvor PAD ikke nødvendigvis er løsningen på alt, men snarere et verktøy – og en påminnelse om at persondata er mange forskjellige ting.
– Dette er første skritt. Det er mange forskjellige datatyper og sensorer som har spesielle utfordringer som vi ikke har håndtert ennå, konkluderer Kjærgaard.
Les også: GDPR stopper Facebooks algoritme for å finne selvmordskandidater (version2.dk)
Artikkelen er levert av Version2.dk
Se Artikel 29-gruppens rapport om data på arbejdspladsen:
wp249_en by Ingenioeren on Scribd: