Angenommen, ich habe eine Reihe von Adressen von Personen, die an einer bestimmten Studie teilnehmen (höchstwahrscheinlich im Zusammenhang mit der Gesundheit, bei der Datenschutz und ethische Erwägungen immer wichtige Themen sind).
Heutzutage bieten Anbieter wie Google oder Yahoo gute Ergebnisse in Bezug auf die Positionsgenauigkeit.
Die nordamerikanische Vereinigung zentraler Krebsregister ( NAACCR ) listet solche Optionen in ihren Handbüchern " Geocoding Best Practices: Übersicht über acht häufig verwendete Geocodierungssysteme " und " A Geocoding Best Practices Guide " auf.
Cinnamon und Schuurman (2010) haben zum Beispiel den BatchGeocode-Dienst als Teil ihres Tools zur Untersuchung von Verletzungen in ressourcenarmen Umgebungen verwendet.
Würden Sie die Geokodierung solcher Adressen mithilfe von Onlinediensten wie Google Maps oder OpenStreetMap als Verstoß gegen den Datenschutz betrachten?
PS1 möglicherweise verwandte Frage .
In einem kürzlich erschienenen PS2-Artikel in Epidemiology (einem der führenden Peer-Review-Journale auf diesem Gebiet) wurde eine kurze Mitteilung veröffentlicht, in der Anweisungen zur Geokodierung mit Google Maps & Places-APIs enthalten sind. Interessanterweise wurde kein Wort über Sicherheit / Datenschutz erwähnt ...
Antworten:
Hier gibt es definitiv eine Auswirkung auf den Datenschutz - insbesondere, wenn Sie mit kleinen Datenmengen arbeiten. Jeder, der versucht, den Datenstrom abzubauen, kann davon ausgehen, dass alle Anforderungen im selben Stapel etwas gemeinsam haben - auch wenn der medizinische Zustand oder die persönlichen Informationen nicht drahtlos weitergegeben werden.
Eine bessere Technik besteht darin, viele nicht verwandte Daten / Patienten für die Massen-Geokodierung zusammenzufassen.
Kombinieren Sie zum Beispiel Ihre Daten, für die eine Geokodierung erforderlich ist, mit anderen Forschern. Je mehr unabhängige Probleme auftreten, desto besser. Ordnen Sie die Anforderungen in zufälliger Reihenfolge an. Und einmal pro Tag Stapelverarbeitung durch diese Warteschlange auf einmal.
Jetzt wird es erheblich schwieriger, die Daten abzubauen, selbst wenn ein Angreifer die Geokodierungsanforderungen abhören kann.
quelle
Lokale Geokodierung mit verschlüsselten Dateien auf einem sicheren Server wäre definitiv der Goldstandard für Datenschutz. Die Verwendung von Tor ist die zweitbeste Möglichkeit, wenn eine Geokodierung mithilfe einer Remote-API erforderlich ist.
Neben der Eingabe von zufälligen Adressen (wie andere hier empfehlen) und der Verwendung von ssl (https) zum Verschlüsseln der Kommunikation mit ihren Endpunkten (stellen Sie sicher, dass Sie dies auch tun), gibt es keine sicherere Möglichkeit zum Geocodieren aus der Ferne als über das Tor-Projekt . Unabhängig davon, welchen Geokodierungsdienst Sie verwenden, können Sie niemals feststellen, woher die Anforderungen letztendlich stammen, und mit https wird dies auch niemand anderes tun. Hinweis: Verwenden Sie keinen Geokodierungsdienst, für den ein API-Schlüssel erforderlich ist, da Sie sonst nicht mehr anonym sind. (Google benötigt keinen API-Schlüssel mehr).
Weitere Details zur Verwendung von Tor finden Sie in meiner Antwort auf eine verwandte Frage hier.
quelle
Dies ist eine hervorragende Frage, die mir in letzter Zeit mehrmals gestellt wurde, seit ich für eine Adressprüfungsfirma namens SmartyStreets arbeite.
Zuallererst repräsentiert eine Postadresse einen einzelnen auffindbaren Punkt auf der Karte. Eine Adresse an sich ist von Natur aus harmlos, da sie keine zusätzlichen Informationen enthält. Das Zeichnen eines Punktes auf einer Karte hat keine Auswirkungen. Erst wenn Sie beginnen, diesem Punkt (dieser Adresse) CONTEXT zuzuweisen, beginnt es, etwas zu bedeuten.
In diesem Sinne kann eine Postanschrift eine Person, eine Organisation, ein Gebäude, ein Auto oder was auch immer darstellen. Sobald Sie mit dem Sammeln mehrerer Postanschriften beginnen, erhöhen Sie den Kontext, der aus dieser Gruppierung abgeleitet werden kann. Es können Ähnlichkeiten festgestellt werden, um festzustellen, was die Adressen gemeinsam haben. Trotzdem bedeutet nur eine Gruppierung von Adressen in einem ähnlichen Bereich nicht viel Kontext. Ich kann mir eine Google-Karte ansehen und alle Häuser in einem bestimmten Gebiet sehen. Dies ist keine Verletzung der Privatsphäre, es sei denn, ich habe nicht autorisierten Zugriff auf privilegierte Informationen.
Andere Kontextpunkte müssen kombiniert werden, um tatsächlich jegliche Art von privaten Daten preiszugeben. Beispielsweise gibt eine Gruppe von Postanschriften, die zur Adressüberprüfung und / oder Geokodierung an einen Onlinedienst gesendet werden, nur dann Informationen weiter, wenn Sie wissen, von wem die Liste zur Verarbeitung gesendet wurde. Sobald der Listeneigentümer bekannt ist, können bestimmte Rückschlüsse auf die beabsichtigte Verwendung der Liste gezogen werden. Wenn Sie diesen zusätzlichen Kontext kennen, z. B. den Eigentümer der Liste und den Verwendungszweck, gelten Sie mit Sicherheit als privilegierte Informationen und können eine Quelle für Datenschutzverletzungen sein.
Es ist eine Option, die Verarbeitung "intern" zu betreiben, sodass kein externer Datendienst involviert ist. Es schließt jedenfalls jede Art von unbefugtem Zugriff auf privilegierte Informationen aus. Adressüberprüfung und Geokodierung sind keine Aufgaben für Anfänger und erfordern mit Sicherheit fortgeschrittene Kenntnisse (dh Erfahrungen, die im Laufe der Zeit gesammelt wurden), um sehr große Listen zu verarbeiten, ohne übermäßig viel Zeit und Ressourcen zu verbrauchen. Es ist also sicherlich eine Option, es ins Haus zu bringen. Verfügt jedoch jedes Unternehmen mit vertraulichen Adressinformationen über die Ressourcen, um eine eigene "sichere" Adressverarbeitung (einschließlich Geokodierung) im Haus durchzuführen? Nein. (Auch wenn dies für die Leser dieser Website mit Sicherheit Arbeitsplatzsicherheit bedeuten würde.)
Es gibt Möglichkeiten, den erforderlichen Datenschutz aufrechtzuerhalten und dennoch Onlinedienste zu nutzen. Eine Methode wäre, ein Konto zu erstellen, alles zu testen und herauszufinden und dann unter Verwendung einer temporären E-Mail-Adresse ein neues Konto mit einer nicht zugehörigen Rechnungsadresse einzurichten, die mit einer Kreditkarte verknüpft ist, die nicht auf Sie zurückgeführt werden kann. Die Verarbeitung der Adressen auf diesem Konto würde theoretisch keinen wertvollen Kontext preisgeben und somit die Privatsphäre der Personen auf der Liste wahren. (Dies fängt an, wie der Film Enemy Of The State zu klingen .
Wenn das komplex und unnötig klingt, stimme ich zu. Eine einfachere Methode wäre, die Vorteile einer API zu nutzen, die HTTPS und POST verwendet und keine der von Ihnen verarbeiteten Daten speichert oder protokolliert. Die Verwendung von HTTPS bedeutet, dass der einzige Eintrag ein Zeitstempel und die IP-Adresse ist, von der aus Sie anrufen. Die zugrunde liegende URL wäre nicht bekannt. Natürlich würde das Konto, das Sie verwenden, zu Ihnen zurückführen, ABER das ist kein Problem, da Sie mit einer POST-Anfrage eine Nutzlast (in diesem Fall einen Stapel von Adressen) anhängen können und der Inhalt der Nutzlast nicht protokolliert wird. Daher befinden sich die von Ihnen übermittelten Adressen in keinem Serverprotokoll. Und die Tatsache, dass der Speicher zwischen den einzelnen Prozessen gelöscht wird, bedeutet, dass diese Adressen nie gespeichert oder protokolliert werden und ihre Rückübertragung an Sie über eine sichere Verbindung erfolgt.
13Mar2012 06:31 (-6) IP: 12.134.223.12 UserID: 875564 - POST MENGE: 3439942 - [Verarbeitet]
Jeder, der sich die Protokolle ansieht, sieht nur, dass Sie einige Adressen verarbeitet haben und er hat keine Ahnung, welche Adressen verarbeitet wurden. Dies erfüllt selbst die strengsten Datenschutzbestimmungen. Es würde für mich keinen Sinn machen, darauf hinzuweisen, dass diese Art von Service verfügbar (und superschnell ) ist, ohne zu erwähnen, wo man ihn findet. Es ist bereits in den LiveAddress-API-Dienst von SmartyStreets integriert. Andere Dienste wie Cdyne, QAS und ServiceObjects bieten möglicherweise ähnliche Dienste an, von denen ich bisher noch nichts gehört habe.
quelle
Möglicherweise könnten Sie eine ID erstellen, Ihre Tabelle aufteilen. Persönlich identifizierbare Informationen werden entfernt. Nach der Geokodierung schließen Sie die Tabelle wieder an.
Ich nehme an, Sie könnten nachweisen, dass Sie, sobald Sie die Daten irgendwo auf einem Server laufen lassen, keine Chain-of-Custody mehr aufrechterhalten haben.
Ich habe ziemlich viel zu diesem Thema geschrieben, wenn Sie mir folgen möchten ...
Wolkenbesitz und -kontrolle
Besitz und Kontrolle des elektronischen Zeitalters
Google Buch
Rechtliche Auswirkungen von Cloud Computing
Wenn die Durchsetzung gemäß den gesetzlichen Bestimmungen erfolgt, kann Cloud Computing vollständig von staatlichen Diensten ausgeschlossen werden.
quelle
Nein, Sie können offline geocodieren. Wenn Sie Online-Batch-Geocoder verwenden, wie wird das Konvertieren von Adressen in geografische Koordinaten zu einem Datenschutzproblem? Es wäre eher ein Problem, wenn jeder Name aufgenommen und veröffentlicht würde. Wie Brad erwähnt, wird die Adresse durch eine ID getrennt und neu abgeglichen, wenn die Adressen geocodiert wurden. Standardverfahren.
quelle
Geokodierung ist risikoarm Anfang des Jahres haben wir mit einigen Krankenhäusern zusammengearbeitet und diese Frage wurde aufgeworfen. Der Geocodierungsdienst selbst war kein großes Problem, da wir alle Daten außer der ID und der Adresse entfernt, die sichere Übertragung (https) verwendet und die Nutzungsbedingungen unseres internen Geocodierers Datenschutzbestimmungen festgelegt haben, die ausreichten, um ihre Kriterien zu erfüllen.
Das anonyme Anzeigen von Standorten ist schwieriger Das schwierigere Problem bestand darin, Karten mit spärlichen Daten anzuzeigen und dabei die Annonymität beizubehalten. Die erste Option, nach der der Kunde gefragt hat, war das Hinzufügen eines zufälligen "Fudge" zu jedem Punkt, damit der tatsächliche Standort des Hauses verdeckt wird. Das Problem bei diesem Ansatz ist, dass die Größe des erforderlichen Fudges ziemlich groß ist (1/2 Meile oder mehr) (was ist, wenn jemand auf einer Farm lebt) und die Tendenz der Kartenbenutzer, die Punktpositionen als genau zu betrachten. Wir haben uns entschlossen, die angezeigten Punkte zu aggregieren, um anonym zu bleiben, und dabei eine nützliche Karte zu haben. Eine Norm aus anderen Branchen, in denen wir gearbeitet haben, scheint zu sein, dass die Aggregationseinheit mindestens 7 bis 10 Datensätze enthalten muss.
quelle
Vermutlich haben Sie es geokodiert und die Ergebnisse nicht veröffentlicht? Wenn ja, wie würde die Cloud wissen, was diese Daten darstellen?
Vermutlich können Sie auch alle Daten, die Sie geocodieren, mit zufälligen Daten verschleiern, wobei eventuell vorhandene inhärente Muster ausgeblendet werden.
quelle
Ich weiß nicht, ob dies neu ist, da die Frage gestellt wurde, aber wenn sich jemand in der Google Maps API v3 gefragt hat, können Sie SSL (https) verwenden. Auch im Abschnitt zum Datenschutz des NAACCR Best Practices Guide werden diese Probleme behandelt.
quelle
In Österreich wäre dies definitiv ein Datenschutzproblem.
Erstens: Gesundheitsdaten werden als sensibel eingestuft, und es besteht kein Zweifel, dass sie ohne ausdrückliche Zustimmung der Person, die sich auf diesen Datensatz bezieht, nicht an Dritte weitergegeben werden dürfen.
Auch wenn es anonymisiert ist: Es ist möglich, diese Gesundheitsdaten zu geokodieren, aber es ist auch möglich, öffentlich zugängliche Name-zu-Adresse-Register (Telefonbuch) zu geokodieren und Gesundheitsdaten mit dort lebenden Personen zu verbinden, sodass Adressen ebenfalls als personenbezogen eingestuft werden Daten.
Dies führt dazu, dass Sie diesen Datensatz nicht geokodieren dürfen, indem Sie ihn an Dritte senden, ohne Ihre Teilnehmer explizit zu fragen.
quelle
Benötigen Sie einen genauen Geocode oder einen allgemeinen Bereich? Möglicherweise können Sie nur die Postleitzahl oder die Teilpostleitzahl verwenden. F
quelle
Ich arbeite für eine Geokodierungsfirma ( YAddress.net ) und wir haben eine große Anzahl von Kunden mit strengen Datenschutzanforderungen - Finanzbranche, Gesundheitswesen, Recht usw.
Wir gehen auf zwei Arten auf ihre Datenschutzbedenken ein:
Online-Datenverarbeitung über SSL-verschlüsselte Verbindungen (verhindert das Durchsuchen von Daten während der Übertragung) sowie Datenschutzvereinbarungen auf unserer Seite. Dies ist für einige Kunden ausreichend, aber nicht für alle.
Für ultimativen Datenschutz eine Software-Bereitstellungsoption vor Ort, bei der die Geokodierung vollständig beim Kunden stattfindet und keine Daten jemals über das Internet übertragen werden.
Wie die anderen Kommentatoren zu Recht festgestellt haben, handelt es sich bei einer Postanschrift an sich um eine öffentliche Information, die ohne Kontextdaten (wie Kundennamen, -nummern usw.) keinerlei Offenlegung darstellt. Unternehmen im realen Leben sind jedoch in einem realen rechtlichen Umfeld tätig, in dem diese Argumentation möglicherweise vor Gericht steht oder nicht. Wenn Datenschutz ein dringendes Anliegen ist, lohnen sich möglicherweise zusätzliche Kosten für eine Vor-Ort-Lösung, um das Risiko potenzieller rechtlicher Komplikationen zu vermeiden.
quelle