SI25850A - Metoda in naprava za shranjevanje, nadzor nad vpogledom in pridobitev podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe - Google Patents

Metoda in naprava za shranjevanje, nadzor nad vpogledom in pridobitev podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe Download PDF

Info

Publication number
SI25850A
SI25850A SI201900098A SI201900098A SI25850A SI 25850 A SI25850 A SI 25850A SI 201900098 A SI201900098 A SI 201900098A SI 201900098 A SI201900098 A SI 201900098A SI 25850 A SI25850 A SI 25850A
Authority
SI
Slovenia
Prior art keywords
data
owner
linking
distributed
ddb
Prior art date
Application number
SI201900098A
Other languages
English (en)
Inventor
Turkanović Muhamed
Kežmah Boštjan
Podgorelec Blaž
Kamišalić Latifić Aida
Heričko Marjana
Heričko Marjan
Original Assignee
Univerza V Mariboru
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Univerza V Mariboru filed Critical Univerza V Mariboru
Priority to SI201900098A priority Critical patent/SI25850A/sl
Priority to EP19177499.1A priority patent/EP3742318B1/en
Publication of SI25850A publication Critical patent/SI25850A/sl

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Bioethics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Metoda in naprava za shranjevanje de-identificiranih parov povezovalnih in dejanskih podatkov in nadzor nad re-identifikacijo psevdonimiziranih povezovalnih podatkov rešuje tehnični problem omogočanja brisanja in omejevanja dostopnosti podatkov, shranjenih v trajni nespremenljivi porazdeljeni decentralizirani shrambi. Predlagana metoda pri postopku shranjevanja ločeno obravnava dejanski in povezovalni podatek. Vsebina slednjega predstavlja posredni ali neposredni identifikator lastnika dejanskega podatka(npr. osebni podatek), pri čemer je pred shranjevanjem v takšno shrambo s pomočjo različnih psevdonimizacijskih tehnik, podprtih s kriptografijo, večkrat de-identificirana. Postopek re-identifikacije psevdonimiziranih podatkov s pomočjo predlagane metode in naprave omogoča lastniku nadzor nad vsakokratnim vpogledom v njegove podatke v trajno nespremenljivi porazdeljeni in decentralizirani shrambi. Zaradi predlagane metode in naprave je pri shranjevanju zagotovljena skladnost s predpisi na področju obdelaveosebnih podatkov.

Description

METODA IN NAPRAVA ZA SHRANJEVANJE, NADZOR NAD VPOGLEDOM IN PRIDOBITEV PODATKOV IZ TRAJNO NESPREMENLJIVE PORAZDELJENE IN DECENTRALIZIRANE SHRAMBE
Tehnični problem
Obstaja veliko možnosti za hrambo podatkov v digitalnih obliki. Večinoma se shranjevanje izvede v zasebno digitalno shrambo, zbirko podatkov ali podatkovno bazo, ki omogoča naknadno urejanje ali brisanje podatkov. Dostop do shrambe in upravljanje s podatki je omogočeno zgolj entiteti, ki si lasti zbirko podatkov ali drugi entiteti, ki jo je lastnik shrambe pooblastil za upravljanje s podatki.
V določenih primerih se uporabljajo porazdeljene zbirke podatkov, ki so še zmeraj zasebne. Pri tem je zbirka porazdeljena med več različnih vozlišč, kjer posamezno vozlišče shranjuje del celotne shrambe ali kopijo celotno shrambe. V tem primeru se spremembe podatkov v posameznem vozlišču sčasoma preslikajo v vsa vozlišča, ki so del porazdeljene zbirke podatkov. Na ta način je zagotovljena enotnost shrambe kljub porazdeljenosti.
Ne glede na porazdeljenost obstaja v določenih primerih zahteva za javno dostopno digitalno shrambo. Kadar so v shrambi osebni podatki, za katere s predpisi javni dostop ni dovoljen, jih je treba zavarovati tako, da nepooblaščenim osebam dostop do njih ni omogočen, tega pa javne digitalne shrambe privzeto ne omogočajo. V takšnih primerih je mogoče podatke zavarovati z uporabo kriptografskih metod, ki zagotavljajo neberljivost podatkov kljub njihovi dostopnosti.
Posebna kategorija zbirk podatkov so trajno nespremenljive porazdeljene ter decentralizirane shrambe. Primeri so podatkovne shrambe, ki temeljijo na tehnologiji veriženja blokov. Te enotno shrambo porazdelijo med vsa vozlišča omrežja. Pri tem ima vsako vozlišče kopijo celotne shrambe. Posledica tega je, da shramba nima centralnega nadzora oziroma si nadzor vozlišča enakomerno delijo.
Nespremenljive porazdeljene in decentralizirane shrambe niso skladne s predpisi na področju obdelave osebnih podatkov, predvsem z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takšnih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošno uredbo o varstvu podatkov - GDPR). Ta v 17. členu določa pravico do pozabe, ki zahteva od upravljavca osebnih podatkov, da ne glede na vrsto shrambe zagotovi izbris osebnih podatkov kadar to zahteva posameznik ali kadar upravljavec nima več podlage za obdelavo osebnih podatkov. Trajno nespremenljive porazdeljene decentralizirane shrambe zato ne zagotavljajo skladnosti glede brisanja podatkov in javne dostopnosti podatkov v shrambi.
Stanje tehnike
V stanju tehnike obstaja več dokumentov, ki obravnavajo podobno tematiko.
Znanstveni članek »On the Design of a Blockchain-Based System to Facilitate Healthcare Data Sharing«1 obravnava shranjevanje de-identificiranega povezovalnega podatka in zgostitev podatkov v verigo blokov, pri čemer so dejanski podatki shranjeni v ločeni centralizirani podatkovni bazi. Zgostitve podatkov, shranjene v verigi blokov, so uporabljene samo za preverjanje integritete podatkov. Predviden je nadzor nad vpogledom v podatke. Registrirane zunanje entitete lahko dostopajo do podatkov, vendar je potrebna odobritev s strani njegovih lastnikov, pri čemer se re-identifikacija ne izvaja. Zunanja entiteta dobi dostop do podatkov naključno izbranega lastnika in ni upravičena do izbire lastnika podatkov.
Znanstveni članek »An Privacy - Preserving Cross - Organizational Authentication / Authorization /Accounting System Using Blockchain Technology«2 predlaga rešitev, ki temelji na shranjevanju podatkov o pooblastilih dostopa za posameznega uporabnika v verigo blokov. Povezovalni podatek, ki identificira posameznega uporabnika, je de-identificiran z večkratno uporabo zgoščevalne funkcije. Predpogoj za uporabo predlagane rešitve je registracija v sistemu, ki se izvaja izven omrežja verige blokov. Podatki za avtorizacijo posameznega uporabnika so prav tako shranjeni izven omrežja verige blokov. Ob uspešni avtorizaciji organizacija dostopa do podatkov o uporabniških pooblastilih dostopa, ki so shranjeni v verigi blokov. Rešitev predvideva uporabo kriptožetona, ki se v sistemu uporablja kot sredstvo za plačevanje vseh opisanih storitev.
Patent »A system and method for blockchain smart contract data privacy«3 obravnava prenos ključa, s katerim so simetrično šifrirani podatki shranjeni v verigi blokov. Prenos temelji na asimetrični kriptografiji. Tako posredno omogoča nadzor nad vpogledom v šifrirane podatke shranjene v verigi blokov. S pridobitvijo ključa se pridobi dostop do dejanskih podatkov, shranjenih v verigi blokov, ki je zaradi lastnosti tehnologije veriženja blokov trajen in s strani lastnika podatkov nepreklicen.
Znanstveni članek »A privacy-preserving system for data ovvnership using blockchain and distributed databases«4 predvideva hrambo de-identificiranega povezovalnega podatka v verigi blokov, pri čemer je povezovalni podatek shranjen v centralizirani podatkovni bazi. Dejanski podatki se v nešifrirani ter berljivi obliki shranjujejo znotraj ločene porazdeljene podatkovne baze. Re-identifikacija se izvede nad podatki, shranjenimi v centralizirani podatkovni bazi in ne s pomočjo de-identificiranega povezovalnega podatka, shranjenega v verigi blokov. Predlagana rešitev lastniku podatkov ne omogoča nadzora nad vsakokratnim vpogledom v njegove podatke.
Predstavitveni dokument »MyMEDIS: a new medical data storage and access system«5 predvideva nadzor nad vpogledom v podatke s shranjevanjem šifriranih podatkov v porazdeljeno podatkovno bazo. Dodeljevanje pooblastil za dostop do podatkov je urejeno z uporabo asimetrične kriptografije, kar lastniku podatkov onemogoča preklic dodeljenih pooblastil za vpogled v podatke.
Znanstveni članek »Decentralized Semantic ldentity«6 predlaga sistem za upravljanje identitet znotraj omrežja NMC, ki v istoimenski kriptožeton shranjuje povezovalni podatek do celotne identitete uporabnika (WeblD). Identiteta je shranjena v porazdeljeni trajni podatkovni bazi. Uporabnik svojo identiteto dokazuje z uporabo standardiziranega žetona JWT in s tem pridobi podatke identitete (WeblD).
Znanstveni članek »Privacy-friendly platform for healthcare data in cloud based on blockchain environment« 7 uporablja zasebno omrežje verige blokov za shranjevanje asimetrično šifriranih podatkov. Tako je dosežen nadzor nad vpogledom v podatke, ki lastniku podatkov ne omogoča preklica vpogleda v dejanske podatke.
Navedeni dokumenti ne omogočajo ustreznega nadzora lastnika podatkov do dostopanja do in vpogleda v njihove podatke, ki so shranjeni v trajno nespremenljivi porazdeljeni ter decentralizirani shrambi.
Opis izuma
Predlagani izum predstavlja rešitev opisanega problema v obliki metode in naprave za shranjevanje podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo in nadzor nad vsakokratnim vpogledom v podatke in pridobivanje podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe.
Metoda in naprava po izumu omogoča:
- shranjevanje povezovalnih podatkov v javni trajno nespremenljivi porazdeljeni in decentralizirani shrambi, ki so lahko tudi osebni podatki, na način, da so dostopni vsem entitetam, ki imajo dostop do omrežja, vendar so privzeto de-identificirani oz. psevdonimizirani;
shranjevanje dejanskih podatkov v berljivi obliki v trajno nespremenljivi porazdeljeni in decentralizirani shrambi;
- podporo nadzorovane re-identifikacije psevdonimiziranih povezovalnih podatkov in posredno vpogledu v berljivo obliko dejanskih podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe;
- nadzor lastnika podatkov nad re-identifikacijo psevdonimiziranih povezovalnih podatkov in posredno vpogledom v berljivo obliko dejanskih podatkov v trajno nespremenljivi porazdeljeni in decentralizirani shrambi na podlagi mehanizma za overjanje lastništva podatkov, ki temelji na avtorizaciji lastnika;
pošiljanje zahtevka entitete lastniku podatkov za enkraten vpogled v njegove podatke shranjene v trajno nespremenljivi porazdeljeni in decentralizirani shrambi;
- nadzor procesa re-identifikacije psevdonimiziranega povezovalnega podatka za vsak posamezni vpogled s strani katerega koli uporabnika naprave;
- skladnost metode in naprave z zahtevami Splošne uredbe o varstvu podatkov (GDPR).
Metoda in naprava po izumu sta opisani v nadaljevanju in na slikah, pri čemer slike prikazujejo blok shemo metode po izumu in delovanje naprave po metodi po izumu.
Slika 1 predstavlja blok shemo metode po izumu.
Slika 2 predstavlja delovanje naprave po metodi po izumu pri shranjevanju podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo.
Slika 3 predstavlja delovanje naprave po metodi po izumu pri nadzoru nad vsakokratnim vpogledom v podatke iz trajno nespremenljive porazdeljene in decentralizirane shrambe.
Naprava CS, ki omogoča izvajanje metode po izumu, je sestavljena vsaj iz:
- centralne procesne enote s pripadajočim vezjem za delovanje centralne procesne enote,
- komunikacijske enote za sprejemanje in pošiljanje sporočil in dostop do branja in vpisovanja podatkov dostop do, branje in vpisovanje podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB,
- pomnilnikov, ki so potrebni za programiranje in delovanje naprave in za lokalno podatkovno bazo.
V trajnem pomnilniku naprave je vsaj ena programska oprema za upravljanje s podatki. Takšna programska oprema je lahko nastavljena tako, da shranjuje podatke v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB, kot je opisano nadaljevanju. Primeri takih baz so podatkovne shrambe, ki temeljijo na tehnologiji veriženja blokov. Del trajno nespremenljive porazdeljene in decentralizirane shrambe DDB je lahko tudi del lokalnega trajnega pomnilnika naprave CS. Trajno nespremenljiva in decentralizirana shramba DDB je lahko javna ali zasebna. Naprava CS mora biti priključena v omrežje, katerega del je trajno nespremenljiva porazdeljena in decentralizirana shramba DDB.
Naprava CS ima lahko tudi ločeno programsko opremo za upravljanje s podatki na lokalnem trajnem pomnilniku (lokalno podatkovno bazo), ki ni del trajno nespremenljive porazdeljene podatkovne baze DDB oz. so podatki shranjeni zgolj znotraj trajnega pomnilnika naprave. Čeprav je lokalna podatkovna baza del trajnega pomnilnika naprave CS, je v tem primeru trajnost pomnilnika zagotovljena do ravni, da se podatki, shranjeni v lokalni podatkovni bazi, ne izgubijo, ko napravo CS ponovno zaženemo. Za razliko od trajne nespremenljive porazdeljene in decentralizirane shrambe DDB, lahko podatke in revizijsko sled o dostopu do in upravljanju s podatki iz lokalne podatkovne baze poljubno izbrišemo in spreminjamo.
Metoda in naprava CS vključujeta naslednje ključne deležnike: lastnik O dejanskih podatkov S, skrbnik podatkov DA in entiteta EA, ki zahteva vpogled v dejanske podatke S lastnika O shranjene v trajno nespremenljivi porazdeljeni decentralizirani shrambi DDB. Naprava CS mora biti nastavljena tako, daje javno dostopna in da lahko komunicira z deležniki.
Vsak deležnik ima dostop do svoje elektronske naprave, ki omogoča pošiljanje elektronskih sporočil do naprave CS in s tem izvajanje metod predlaganega izuma. Naprave deležnikov so lahko hkrati del trajno nespremenljive porazdeljene in decentralizirane shrambe, pri čemer njihova vključenost ne vpliva na delovanje metode in naprave po izumu.
Skrbnik podatkov DA je lahko: (1) lastnikO dejanskih podatkov S, kije bodisi posameznik, skupina oseb, podjetje ali organizacija ali (2) institucija IN, ki ni lastnik O dejanskih podatkov S, temveč ima dostop in dovoljenje s strani lastnika O dejanskih podatkov S, za njihovo upravljanje in shranjevanje v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB.
Uporaba naprave CS, čeprav javno dostopne, je omejena na tiste uporabnike, ki se registrirajo in pred uporabo uspešno dokažejo svojo identiteto oz. avtorizirajo. Skrbnik naprave CS lahko določi lastne pogoje za uspešno registracijo in uporabo. Ob uspešni registraciji naprava CS identifikatorje uporabnikov shrani v lokalno podatkovno bazo.
Nastavitve naprave CS določa njen skrbnik, ki je njen lastnik ali upravitelj, ki ga je lastnik pooblastil za nadzor in upravljanje naprave. Skrbnik naprave ima popoln dostop do naprave CS in njenih sestavnih delov. Skrbi za brezhibno delovanje programske in strojne opreme, kakor tudi za varnost. Nastavi lahko politiko dostopa in uporabe naprave CS.
Metoda po izumu, kije prikazana na slikah 1,2 in 3, omogoča skrbniku podatkov DA dodajanje podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB, nadzor lastnika nad vsakokratnim vpogledom, in pridobivanje in posredovanje njegovih podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe DDB s pomočjo naprave CS.
Povezava med lastnikom O in dejanskimi podatki S v trajni nespremenljivi porazdeljeni in decentralizirani shrambi DDB je v obliki povezovalnega podatka L, ki se pred shranjevanjem v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB večkrat de-identificira s pomočjo več psevdonimizacijskih tehnik, podprtih s kriptografijo. Povezovalni podatek L, ki enoznačno določa lastnika O, je lahko naključna vsebina, kakor tudi posredni ali neposredni identifikator lastnika O, pri čemer je neposredni identifikator lahko tudi osebni podatek, saj bo kasneje večkrat de-identificira n.
Dejanski podatki S so podatki, ki jih želi skrbnik DA shraniti v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB, pri čemer se ti shranijo v berljivi obliki oz. se ne de-identificirajo in zato ne smejo vsebovati osebnih podatkov. Naprava CS vsebino dejanskih podatkov S pred shranjevanjem ne preverja, zato mora skrbnik podatkov DA poskrbeti, da so skladni s predstavljenimi omejitvami.
Za namen lažjega izvajanja postopka de-identifikacije skrbnik podatkov DA za določenega lastnika O podatkov, po uspešni avtorizaciji in pred izvedbo postopka de-identifikacije, v lokalno podatkovno bazo osrednje naprave CS shrani njegov povezovalni podatek L in njegove kontaktne podatke (npr. naslov elektronske pošte). Skrbnik podatkov DA lahko dodatno v lokalno podatkovno bazo naprave CS shrani povezavo in dostopne podatke, ki so potrebni, da je mogoče dejanske podatke S lastnika O, ki so shranjeni v trajni nespremenljivi in decentralizirani shrambi DDB po metodi po izumu, samodejno pridobiti iz naprav pod nadzorom skrbnika podatkov DA. Povezovalni podatek L je lahko v lokalni podatkovni bazi shranjen tudi v psevdonimizirani obliki. Povezovalni podatek L določi skrbnik podatkov DA samostojno ali v dogovoru z entiteto EA.
Metoda po izumu vključuje prvo fazo in drugo fazo, pri čemer prva faza vključuje naslednje korake: - določitev povezovalnega podatka L, ki enoznačno določa lastnika O in povezavo med lastnikom O in dejanskimi podatki S, pri čemer povezovalni podatek L določi skrbnik podatkov DA samostojno ali v dogovoru z entiteto EA;
- določitev skrivnega podatka C, ki ustreza standardom glede kompleksnosti in entropije kriptografskih ključev in je skrivni podatek določen s strani skrbnika podatkov DA ali lastnika O podatkov ter ga varno shrani lastnik O podatkov, lahko pa tudi skrbnik podatkov DA;
- določitev dejanskih podatkov (S);
- de-identifikacijo para povezovalnega podatka L in pripadajočega dejanskega podatka S, tako da se izdela enoznačni psevdonimiziran povezovalni podatek L', pri čemer psevdonimizacijo povezovalnega podatka L izvede naprava CS ali skrbnik podatkov DA (Dll);
- vpis de-indentificiranega para podatkov, namreč psevdonimiziranega povezovalnega podatka L' in pripadajočega dejanskega podatka S, v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB s strani naprave CS (D3);
in druga faza vključuje naslednje korake:
- pošiljanje zahtevka po dejanskem podatku S, ki pripada lastniku O, s strani entitete EA napravi CS, pri čemer se z zahtevkom pošlje povezovalni podatek L (Ril);
- shranjevanje zahtevka v lokalni podatkovni bazi ali začasnem pomnilniku naprave CS;
- na podlagi prejetega povezovalnega podatka L pošiljanje sporočila iz naprave CS lastniku O na elektronsko napravo D za dovoljenje za vpogled v dejanske podatke S lastnika O (R12);
- odobritev vpogleda s strani lastnika O z vnosom skrivnega podatka C v elektronsko napravo D (R13);
- pošiljanje odobritve napravi CS, pri čemer se z odobritvijo posreduje skrivni podatek C (R14);
- re-identifikacijo para povezovalnega podatka L in pripadajočega dejanskega podatka S, na podlagi prejetega povezovalnega podatka L in prejetega skrivnega podatka C, pri čemer re-identifikacija vključuje izdelavo psevdonimiziranega povezovalnega podatka L' iz prejetega povezovalnega podatka L in prejetega skrivnega podatka C na enak način kot v predhodnem koraku de-identifikacije in pridobivanje dejanskega podatka S lastnika O iz trajno nespremenljive porazdeljene in decentralizirane shrambe DDB na podlagi psevdonimiziranega povezovalnega podatka L' s strani naprave CS (R15);
- pošiljanje dejanskega podatka S lastnika O entiteti EA s strani naprave CS (R16), pri čemer se prva faza lahko izvaja poljubno-krat in pri čemer se druga faza lahko izvaja poljubno-krat po vsaj eni izvedbi prve faze.
Dodajanje podatkov v DDB izvaja naprava CS na podlagi uporabe koraka Dl ali D2. Naprava CS lahko dodajanje podatkov v imenu skrbnika podatkov DA izvede samodejno, pri čemer pridobi podatke za dodajanje iz elektronske shrambe v lastništvu skrbnika podatkov DA do katere ima naprava CS dostop.
Za namen dostopa do elektronske shrambe v lastništvu skrbnika podatkov DA uporabi naprava CS podatke, shranjene v lokalni podatkovni bazi, ki jih je ob registraciji vnesel skrbnik podatkov DA.
V koraku Dl skrbnik podatkov DA pošlje napravi CS povezovalni podatek L, dejanske podatke S in skrivni podatek C, na primer s posredovanjem elektronskega sporočila, ki kot telo sporočila vsebuje povezovalni podatek L, dejanske podatke S in skrivni podatek C. Skrivni podatek C je podatek, ki ga izbere skrbnik podatkov DA ali lastnik podatkov O in varno shrani lastnik O podatkov, lahko pa tudi skrbnik podatkov DA, pri čemer mora biti izbran tako, da ustreza standardom ali dobri praksi glede dolžine in entropije kriptografskih ključev, saj bo uporabljen v procesih de-identifikacije. V primeru koraka Dl, se skrivni podatek C pošilja v telesu sporočila v berljivi obliki. Prenos sporočila poteka po zasebnem, varnem kanalu. V primeru upravljanja naprave CS s spletnim vmesnikom se sporočilo pošilja v obliki varne oz. šifrirane povezave s pomočjo protokola HUPS. Pošiljatelj sporočila prejme povratno sporočilo DRI oz. potrdilo o poslanem sporočilu.
Korak Dl proži korak Dll.
V koraku Dll se izvede de-identifikacijo para povezovalnega podatka L in pripadajočega dejanskega podatka S, tako da se izdela enoznačni psevdonimiziran povezovalni podatek L'.
V enem izvedbenem primeru se psevdonimizacija povezovalnega podatka L, da dobimo psevdonimiziran povezovalni podatek L', izvede s simetrično kriptografsko šifrirno funkcijo (npr. AES256), pri čemer je zašifrirani podatek zgostitev H(L) povezovalnega podatka L po enosmerni kriptografski zgoščevalni funkciji (npr. SHA-256), ključ simetrične kriptografske šifrirne funkcije pa je skrivni podatek C, pri čemer je izračun tega poenostavljeno E( H(L) )_(C). Ker se povezovalni podatek L večkrat de-identificira, pri čemer se uporabi tudi enosmerna kriptografska funkcija, se kot povezovalni podatek L lahko uporabi tudi osebni podatek.
V drugem izvedbenem primeru se psevdonimizacija povezovalnega podatka L, da dobimo psevdonimiziran povezovalni podatek L', izvede s simetrično kriptografsko šifrirno funkcijo (npr. AES256), pri čemer je zašifrirani podatek zgostitev H(L) povezovalnega podatka L po enosmerni kriptografski zgoščevalni funkciji (npr. SHA-256), ključ simetrične kriptografske šifrirne funkcije pa je zgostitev H(C) skrivnega podatka C po enosmerni kriptografski zgoščevalni funkciji, pri čemer je izračun tega poenostavljeno E( H(L) )_H(C). Ker se povezovalni podatek L večkrat de-identificira, pri čemer se uporabi tudi enosmerna kriptografska funkcija, se kot povezovalni podatek L lahko uporabi tudi osebni podatek.
Korak Dll proži korak D3.
V koraku D3 se izvede vpis psevdonimiziranega povezovalnega podatka L' in pripadajočega dejanskega podatka S, v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB, na primer v obliki podatkovne transakcije. Povezava obeh podatkov je lahko v obliki ključ-vrednost, kjer je ključ psevdonimiziran povezovalni podatek L' in vrednost dejanski podatek S. Ob shranjevanju podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB ta samodejno ustvari in skupaj s podatki shrani trenutni časovni žig Til.
Dodajanje podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB, se izvaja s pomočjo prenosa podatkov z omrežno povezavo v eno od vozlišč zunanje trajne nespremenljivo porazdeljene in decentralizirane shrambe DDB ali s shranjevanjem podatkov v trajni pomnilnik naprave CS, če ima le ta programsko opremo za upravljanje s podatki, ki je nastavljena tako, da je del trajno nespremenljive porazdeljene in decentralizirane shrambe DDB.
Rezultat zahteve dodajanja novih podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB prejme naprava CS v obliki potrditvenega sporočila DR3, ki ima v telesu sporočila vrednost časovnega žiga Til shranjevanja novih podatkov.
V koraku D2 skrbnik podatkov DA pošlje osrednji napravi CS dejanske podatke S in psevdonimiziran povezovalni podatek L', na primer s posredovanjem elektronskega sporočila, ki kot telo sporočila vsebuje dejanske podatke S in psevdonimiziran povezovalni podatek L'. Enako kot v koraku Dl so podatki S dejanski podatki v berljivi obliki, ki jih skrbnik DA želi shraniti v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB. Za razliko od koraka Dl se namesto skrivnega podatka C pošlje psevdonimiziran povezovalni podatek L'.
Vtem primeru skrbnik podatka DA izvede psevdonimizacijo povezovalnega podatka L. Skrbnik podatka DA torej pripravi psevdonimiziran povezovalni podatek L', da je skladen z nastavitvami naprave CS, tj. primero izbirati skrivni podatek C, kriptografsko zgoščevalno funkcijo (npr. SHA-256), simetrično kriptografsko šifrirno funkcijo (npr. AES-256) ter postopek in izvedbo psevdonimizacije povezovalnega podatka L, kot je opisano v koraku Dll.
Pošiljanje sporočila k napravi CS lahko skrbnik podatkov DA opravi tako, da upravlja napravo CS. Sporočilo je lahko poslano po zasebnem ali odprtem kanalu, saj skrivni podatek C ni v berljivi obliki. V primeru upravljanja naprave CS s spletnim vmesnikom, je lahko sporočilo poslano po zasebnem kanalu v obliki varne oz. šifrirane povezave s pomočjo protokola HTTPS. Skrbnik DA prejme povratno sporočilo DR2 oz. potrdilo o poslanem sporočilu.
Korak D2 proži korak D3.
Naprava CS je lahko nastavljena tako, da izvaja koraka Dl in/ali D2 na zahtevo ali periodično.
V enem izvedbenem primeru naprava CS po vpisu para podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB izbriše iz svoje lokalne podatkovne baze vse prejete podatke razen povezovalnega podatka L in pripadajočih kontaktnih podatkov lastnika O za kasnejše kontaktiranje lastnika O za pridobitev dovoljenja za vpogled.
V drugem izvedbenem primeru naprava CS po vpisu podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB izbriše iz svoje lokalne podatkovne baze vse prejete podatke, pri čemer se kontaktiranje z lastnikom O za pridobitev dovoljenja za vpogled opravi preko namenske aplikacije na podlagi prejetega povezovalnega podatka L, pri čemer je aplikacija nameščena na osebni napravi D lastnika O in povezana z namensko informacijsko-telekomunikacijsko rešitvijo znotraj naprave CS.
Entiteta EA, ki je hkrati registriran uporabnik naprave CS, lahko proži zahtevo za vpogled v dejanske podatke S lastnika O, shranjene v trajni porazdeljeni in decentralizirani shrambi DDB. Lastnik O dobi zahtevek za vpogled, katerega vsakokrat osebno nadzira. Entiteta EA zahtevo proži s korakom Ril, pri čemer je ključno poznavanje povezovalnega podatka L lastnika O.
V koraku Ril se izvede pošiljanje zahtevka po dejanskem podatku S, ki pripada lastniku O, s strani entitete EA napravi CS, pri čemer se z zahtevkom pošlje povezovalni podatek L. Zahtevek je na primer v obliki elektronskega sporočila, ki kot telo sporočila vsebuje povezovalni podatek L, identifikator entitete EA, opis zahtevka I, časovni žig T21 proženja koraka Ril in izbirno tudi čas TEAmax. Povezovalni podatek L je lahko posredni ali neposredni identifikator lastnika O podatkov, za katerega entiteta EA pridobiva podatke, shranjene v trajni nespremenljivi porazdeljeni in decentralizirani shrambi DDB. Opis zahtevka I je vsebina, ki jo določi entiteta in lahko zajema na primer razlog za vpogled. Čas TEAmax določi entiteta EA kot najdaljši dovoljeni čas čakanja na vpogled v zahtevane podatke S.
Pošiljanje sporočila lahko entiteta EA opravi tako, da upravlja napravo CS, kot je opisano v prejšnjih poglavjih. V primeru upravljanja naprave CS s spletnim vmesnikom, se sporočilo pošilja po zasebnem kanalu. Zasebni kanal je lahko realiziran v obliki varne oz. šifrirane povezave s pomočjo protokola HTTPS.
Entiteta EA prejme sporočilo RR11 oz. potrdilo o poslanem sporočilu, ki ga hkrati opozori na čakanje, potrebno zaradi nadzora enkratnega vpogleda v dejanske podatke S, shranjene v trajni nespremenljivi porazdeljeni in decentralizirani shrambi DDB.
Zagon koraka Ril s strani entitete EA je lahko izveden ročno ali avtomatizirano in sicer na zahtevo ali v ponavljajočem se intervalu.
Naprava CS zahtevek oz. vsebino elektronskega sporočila shrani v lokalni podatkovni bazi ali začasnem pomnilniku. S tem je podprto doseganje skladnosti z GDPR.
Korak Ril proži korak R12.
V koraku R12 se na podlagi prejetega povezovalnega podatka L izvede pošiljanje sporočila iz naprave CS lastniku O na elektronsko napravo D za dovoljenje za vpogled v dejanske podatke S lastnika O, na primer v obliki elektronskega sporočila, ki kot telo sporočila vsebuje povezovalni podatek L, identifikator entitete EA, informacijo I o zahtevi za vpogled v podatke s strani entitete EA in časovni žig zahteve za vpogled T21. Telo sporočila lahko v odvisnosti od načina pošiljanja sporočila vsebuje tudi spletno povezavo W do naprave CS, s pomočjo katere lahko lastnik podatkov O nadzoruje vpogled. Povezava W je spletna povezava, kije del javno dostopnega spleta, in je enolično povezana z zahtevkom oz. elektronskim sporočilom koraka Ril.
Pošiljanje elektronskega sporočila do lastnika O je možno opraviti na več načinov. V odvisnosti od načina pošiljanja pridobi naprava CS glede na povezovalni podatek L iz lokalne podatkovne baze dodatne (kontaktne) podatke lastnika podatkov O. Med možnimi načini pošiljanja elektronskega sporočila lastniku podatkov O so: (1) prenos sporočila s pomočjo protokola SMTP na naslov elektronske pošte lastnika O, (2) prenos sporočila s pomočjo protokola SMPP in GSM omrežja (npr. SMS) na mobilno številko lastnika O in (3) s pomočjo protokola WebSocket/WebSocket Secure kot potisno sporočilo v lastnikovo O osebno elektronsko napravo D, povezano v omrežje.
Pošiljanje elektronskega sporočila s protokolom WebSocket/WebSocket Secure v obliki potisnega sporočila v lastnikovo O osebno elektronsko napravo D, povezano v omrežje, vključuje to, da ima lastnik podatkov O osebno elektronsko napravo D, ki ima v svojem trajnem pomnilniku namensko programsko opremo oziroma aplikacijo za sprejemanje potisnih sporočil s strani naprave CS. Osebna elektronska naprava D lastnika O podatkov mora biti priključena v omrežje in dostopna s strani naprave CS.
Koraku R12 sledi korak R13, ki ga lastnik O podatkov izvede v poljubnem času, pri čemer ga mora v primeru nastavljenih podatkov TEAmax in TCSmax izvesti znotraj nastavljenih najdaljših dovoljenih časov, če želi dovoliti vpogled v dejanske podatke S. Čas TCSmax je s strani upravitelja naprave CS določen najdaljši dovoljeni čas čakanja na odziv lastnika O podatkov za nadzor nad zahtevkom vpogleda.
V koraku R13 se izvede odobritev vpogleda s strani lastnika O, z vnosom skrivnega podatka C v elektronsko napravo D v času T22.
Naprava D je lahko osebna elektronska naprava, povezana v omrežje, ki ima nameščeno namensko programsko opremo za nadzor pridobivanja podatkov, shranjenih v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB. Naprava D je lahko tudi katerakoli druga oblika elektronske naprave, ki je povezana v omrežje in ima naloženo programsko opremo za uporabo svetovnega spleta (npr. brskalnik). V tem primeru se lastnik O s pomočjo takšne programske opreme poveže s spletno povezavo W, ki je del telesa sporočila koraka R12. Povezava W vodi lastnika O podatkov z uporabo zasebnega kanala, zaščitenega s protokolom HRPS, do spletnega vmesnika, ki je del naprave CS. Spletni vmesnik ponudi lastniku O podatkov informacijo o zahtevku po enkratnem vpogledu v njegove podatke, shranjene v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB, in vnosno polje za vnos skrivnega podatka C, s katerim potrdi svojo identiteto in tako nadzoruje oz. dovoli ali zavrne pridobivanje dejanskih podatkov S iz trajne nespremenljive porazdeljene in decentralizirane shrambe DDB.
Korak R13 proži korak R14.
V koraku R14 se izvede pošiljanje odobritve od naprave D lastnika O napravi CS, pri čemer se z odobritvijo napravi CS pošlje skrivni podatek C.
V primeru, da je lastnik O med izvajanjem koraka R13 vpisal skrivni podatek C in s tem odobril enkratni vpogled v dejanske podatke S, shranjene v trajno nespremenljivi porazdeljeni in decentralizirani shrambi DDB, potem vsebuje telo sporočila povezovalni podatek L, skrivni podatek C in časovni žig T22 vnosa skrivnega podatka C.
Pošiljanje sporočila do naprave CS je odvisen od naprave D. V primeru, da je naprava D osebna elektronska naprava, ki ima naloženo namensko programsko opremo za nadzor re-identifikacije povezovalnega podatka L in potencialni vpogled v dejanske podatke S, shranjene v javni trajno nespremenljivi porazdeljeni in decentralizirani shrambi DDB, se pošiljanje sporočila izvede po zasebnem kanalu s pomočjo protokola HTTPS ali WebSocket Secure do spletnega vmesnika naprave CS. Če lastnik O nima osebne elektronske naprave D, ki ima naloženo prej omenjeno namensko programsko opremo, temveč ima dostop do elektronske naprave D, ki ima programsko opremo za uporabo svetovnega spleta, potem se pošiljanje sporočila izvede po zasebnem kanalu s pomočjo protokola HTTPS do spletnega vmesnika naprave CS.
Naprava CS je lahko nastavljena tako, da omejuje lastniku O čas, ki ga ima za upravljanje nadzora nad re-identifikacijo povezovalnega podatka L in s tem enkratnega vpogleda v dejanske podatke S. V takšnem primeru je del koraka R14 preverjanje, ali je razlika med časovnima žigoma T21 (čas proženja zahtevka) in T22 (čas upravljanja nadzora) manjša, kot je sprejemljiva razlika TCSmax. V primeru, da je razlika večja, kot je sprejemljiva razlika, se izvajanje koraka R14 prekine. Prav tako se preverja čas v primeru, da je entiteta EA določila najdaljši dovoljeni čas TEAmax za čakanje na upravljanje zahtevka s strani lastnika O. V primeru, da je razlika prevelika, se izvajanje koraka R14 prekine. V obeh primerih se lahko podatki o zahtevku koraka Ril brišejo iz lokalne podatkovne baze ali začasnega pomnilnika naprave CS.
Lastniku O se na napravi D izpiše sporočilo RR14 oz. potrditev za uspešno ali neuspešno upravljanje nadzora in s tem enkratnega vpogleda v dejanske podatke S iz trajne nespremenljive porazdeljene in decentralizirane shrambe DDB.
Korak R14 proži korak R15 v primeru, ko je lastnik O pravočasno izvedel nadzor nad vpogledom.
V koraku R15 se izvede re-identifikacija para povezovalnega podatka L in pripadajočega dejanskega podatka S, na podlagi prejetega povezovalnega podatka L in prejetega skrivnega podatka C, pri čemer re-identifikacija vključuje izdelavo psevdonimiziranega povezovalnega podatka L' iz v koraku R14 prejetega povezovalnega podatka L in prejetega skrivnega podatka C na enak način kot v koraku Dll in pridobivanje dejanskega podatka S lastnika O iz trajno nespremenljive porazdeljene in decentralizirane shrambe DDB na podlagi psevdonimiziranega povezovalnega podatka L' s strani naprave CS. V primeru, da takšnega zahtevka nima, se izvajanje koraka R15 prekine.
V primeru, ko je lastnik O med izvajanjem koraka R13 oz. vnosom skrivnega podatka C vpisal pravilen skrivni podatek C, bo psevdonimiziran povezovalni podatek L' po izvedbi re-identifikacije enak tistemu, ki je shranjen v trajno nespremenljivi porazdeljeni in decentralizirani shrambi DDB. V primeru, da se je lastnik O namenoma ali nenamerno zmotil pri vnosu skrivnega podatka C, se bo psevdonimiziran povezovalni podatek L razlikoval od tistega, ki je shranjen v trajno nespremenljivi porazdeljeni in decentralizirani shrambi DDB in bo zato iskanje dejanskih podatkov S iz trajne nespremenljive porazdeljene in decentralizirane shrambe DDB neuspešno.
Iskanje in pridobivanje podatkov iz DDB se lahko izvaja s pomočjo omrežne povezave na eno od vozlišč trajne nespremenljive porazdeljene in decentralizirane shrambe DDB ali s trajnega pomnilnika naprave CS, če ima programsko opremo za upravljanje s podatki, ki je nastavljena tako, da je del trajne nespremenljive porazdeljene in decentralizirane shrambe DDB.
Del koraka R15 je prenos rezultata iskanja RR15 iz trajno nespremenljive porazdeljene in decentralizirane shrambe DDB v napravo CS. V primeru uporabe pravilnega skrivnega podatka C in posredno pravilnega psevdonimiziranega povezovalnega podatka L', bo iskanje uspešno in rezultat RR15 bo vseboval dejanske podatke S ter s tem povezan časovni žig Til dodajanja dejanskih podatkov S v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB. V nasprotnem primeru bo iskanje neuspešno. Naprava CS lahko dejanske podatke S in časovni žig Til v povezavi s povezovalnim podatkom L shrani v svojo lokalno podatkovno bazo ali začasni pomnilnik.
Korak R15 proži korak R16.
V koraku R16 se izvede pošiljanje dejanskega podatka S lastnika O entiteti EA s strani naprave CS, na primer v obliki elektronskega sporočila, ki kot telo sporočila lahko vsebuje dejanske podatke S ter s tem povezan časovni žig Til lastnika O. Podatki S in časovni žig Til so pridobljeni iz trajno nespremenljive porazdeljene in decentralizirane shrambe DDB med izvajanjem koraka R15 in med tem lahko tudi shranjeni v začasni pomnilnik ali lokalno podatkovno bazo naprave CS. Podatka sta povezana z zahtevkom in povezovalnim podatkom L koraka Ril. Telo sporočila je lahko tudi prazno, v primeru, ko pridobivanje dejanskih podatkov S iz trajno nespremenljive porazdeljene in decentralizirane shrambe DDB med izvajanjem koraka R15 ni bilo uspešno.
V primeru, da se naprava CS s korakom Ril uporablja s spletnim vmesnikom, je lahko elektronsko sporočilo koraka R16 odgovor ali povratna informacija, poslana s pomočjo protokola WebSocket/WebSocket Secure koraku Ril.
Ker lastnik O samodejno nadzira zahtevo za enkratni vpogled v dejanske podatke S (korak R13), lahko nadzor izvede v poljubnem času, vendar ne kasneje kot je sprejemljiv čas za nadzor (TEAmax, TCSmax). V tem primeru je elektronsko sporočilo koraka R16 lahko ločeno od koraka Ril na način, da se korak R16 izvede po poteku določenega časa in ni neposredna povratna informacija koraka Ril. V takšnih primerih se pošiljanje elektronskega sporočila R16 lahko izvede na več načinov: (1) s pomočjo protokola SMTP na naslov elektronske pošte entitete EA, ki jo ima naprava CS shranjeno v lokalni podatkovni bazi; (2) s pomočjo protokola SMPP in GSM omrežja, v obliki SMS/MMS na mobilno številko entitete EA, ki jo ima naprava CS shranjeno v lokalni podatkovni bazi; (3) s pomočjo protokola WebSocket/WebSocket Secure v obliki potisnega sporočila v elektronsko napravo entitete EA, povezane v omrežje, pri čemer ima elektronska naprava entitete EA nameščeno primerno programsko opremo za upravljanje naprave CS in naprava CS v lokalni podatkovni bazi shranjeno povezavo do elektronske naprave entitete EA; (4) s pomočjo protokola HTTP/HTTPS na določen spletni vmesnik entitete EA, pri čemer ima podatke za dostop do spletnega vmesnika entitete EA naprava CS shranjene v lokalni podatkovni bazi; (5) s pomočjo protokola TCP/IP ter neposredne povezave do lokalne podatkovne baze entitete EA ali neposredne povezave do trajnega pomnilnika entitete EA, pri čemer ima podatke za dostop naprava CS shranjene v lokalni podatkovni bazi.
Naprava (CS) za shranjevanje podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo (DDB) in nadzor nad vsakokratnim vpogledom v podatke iz trajno nespremenljive porazdeljene in decentralizirane shrambe (DDB), pri čemer je naprava povezana v omrežje in vključuje vsaj centralno procesno enoto s pripadajočim vezjem za delovanje centralne procesne enote, komunikacijsko enoto za sprejemanje in pošiljanje sporočil in dostop do, branje in vpisovanje podatkov v (DDB), pomnilnike, ki so potrebni za programiranje in delovanje naprave in za lokalno podatkovno bazo, pri čemer je centralna procesna enota prirejena za izvajanje korakov:
- sprejem povezovalnega podatka L, skrivnega podatka C in pripadajočega dejanskega podatka S, ki jih pošlje skrbnik podatkov DA (Dl) in de-identifikacijo para povezovalnega podatka L in pripadajočega dejanskega podatka S, tako da se izdela enoznačni psevdonimiziran povezovalni podatek L' (Dll);
- ali sprejem psevdonimiziranega povezovalnega podatka L' in pripadajočega dejanskega podatka S, ki jih pošlje skrbnik podatkov DA (D2);
- vpis psevdonimiziranega povezovalnega podatka L' in pripadajočega dejanskega podatka S, v trajno nespremenljivo porazdeljeno in decentralizirano shrambo DDB (D3);
* sprejem zahtevka po dejanskem podatku S, ki pripada lastniku O, skupaj s povezovalnim podatkom L, ki ga pošlje entiteta EA in shranjevanje zahtevka v lokalni podatkovni bazi (Ril);
- na podlagi prejetega povezovalnega podatka L pošiljanje zahtevka lastniku O na elektronsko napravo D za dovoljenje za vpogled v dejanske podatke S lastnika O (R12);
- sprejem odobritve od lastnika O za vpogled v dejanske podatke S lastnika O, pri čemer se z odobritvijo posreduje skrivni podatek C (R14);
- re-identifikacijo para povezovalnega podatka L' in pripadajočega dejanskega podatka S, na podlagi prejetega povezovalnega podatka L in prejetega skrivnega podatka C, pri čemer re-identifikacija vključuje izdelavo psevdonimiziranega povezovalnega podatka L' iz prejetega povezovalnega podatka L in prejetega skrivnega podatka C na enak način kot v predhodnem koraku de-identifikacije in pridobivanje dejanskega podatka S lastnika O iz trajno nespremenljive porazdeljene in decentralizirane shrambe DDB na podlagi psevdonimiziranega povezovalnega podatka L' (R15);
- pošiljanje dejanskega podatka S lastnika O entiteti EA (R16).
S pomočjo naprave CS ima lastnik O podatkov popoln nadzor nad vpogledom v dejanske podatke S, shranjene v trajni nespremenljivi porazdeljeni in decentralizirani shrambi DDB. Nadzor nad vpogledom v podatke S izvaja lastnik O, s pomočjo re-identifikacije para povezovalnega podatka L in pripadajočega dejanskega podatka S, ki temelji na poznavanju skrivnega podatka C. Varovanje skrivnega podatka C mora zagotoviti lastnik podatkov O, saj poznavanje tega omogoči komur koli nadzor vpogleda v dejanske podatke S.
V primeru, da želi lastnik podatkov O za zmeraj onemogočiti vpogled v shranjene dejanske podatke S v trajno nespremenljivi porazdeljeni in decentralizirani shrambi DDB, mora nepovratno uničiti obstoj skrivnega podatka C. Brez poznavanja skrivnega podatka C je nemogoče izvesti re-identifikacijo para povezovalnega podatka L in pripadajočega dejanskega podatka S, s pomočjo katerega se pridobijo dejanski podatki S iz trajno nespremenljive porazdeljene in decentralizirane shrambe DDB in ker je ta lahko tudi osebni podatek (faza de-identifikacije), dosega predlagani izum s tem skladnost z GDPR. Četudi se zgodi, da se lastniku O podatkov odtuji skrivni ključ C, se zaradi uporabe enosmerne kriptografsko zgoščevalne funkcije ne more ugotoviti prvotna vrednost povezovalnega podatka L.
V primeru uporabe javne trajno nespremenljive porazdeljene in decentralizirane shrambe DDB obstaja možnost, da zlonamerna oseba dostopa do podatkov v shrambi (de-identificirani povezovalni podatek L' in dejanski podatki S) in nad temi izvaja statistične analize, ki morebiti razkrijejo identiteto lastnika podatkov O. Ker nad takšnim morebitnim napadom naprava CS nima vpliva, mora skrbnik podatkov DA poskrbeti, da se primerno zaščiti.
Literatura:
1 A. Theodouli; S. Arakliotis; K. Moschou; K. Votis; D. Tzovaras v 201817th IEEE International Conference On Trust, Security And Privacy In Computing And Communications/ 12th IEEE International Conference On Big Data Science And Engineering (TrustCom/BigDataSE) 2 P. Joy Lu; L. Yeh ; J. Huang v 2018 IEEE International Conference on Communications (ICC) 3 A. BEN-ARI v W02017090041A1 4 S. Bertram; C. Georg v https://arxiv.org/abs/1810.11655vl 5 A. Kovach, G. Ronai v https://mymedis.in/documents/MEDIS-White-Paper.pdf 6 J. G. Faisca, J. Q. Rogado v SEMANTiCS 2016 Proceedings of the 12th International Conference on Semantic Systems 7 A. Al Omara, M. Zakirul Alam, B. Anirban Basu, S. Kiyomoto, M. Shahriar Rahman v Future Generation Computer Systems

Claims (13)

  1. PATENTNI ZAHTEVKI
    1. Metoda za shranjevanje podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo (DDB) in nadzor nad vsakokratnim vpogledom in pridobitev podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe (DDB), značilna po tem, da vključuje prvo fazo in drugo fazo, pri čemer prva faza vključuje naslednje korake:
    - določitev povezovalnega podatka (L), ki enoznačno določa lastnika (O) in povezavo med lastnikom (O) in dejanskimi podatki (S), pri čemer povezovalni podatek L določi skrbnik podatkov (DA) samostojno ali v dogovoru z entiteto (EA);
    - določitev skrivnega podatka (C), ki ustreza standardom glede kompleksnosti in entropije kriptografskih ključev in je skrivni podatek (C) določen s strani skrbnika podatkov (DA) ali lastnika (O) podatkov in skrivni podatek (C) varno shrani lastnik (O), lahko pa tudi skrbnik podatkov (DA);
    - določitev dejanskih podatkov (S);
    - de-identifikacijo (Dll) para povezovalnega podatka (L) in pripadajočega dejanskega podatka (S), tako da se izdela enoznačni psevdonimiziran povezovalni podatek (L'), pri čemer psevdonimizacijo povezovalnega podatka (L) izvede naprava (CS) ali skrbnik podatkov (DA);
    - vpis (D3) de-indentificiranega para podatkov, namreč psevdonimiziranega povezovalnega podatka (L') in pripadajočega dejanskega podatka (S), v trajno nespremenljivo porazdeljeno in decentralizirano shrambo (DDB) s strani naprave (CS);
    in druga faza vključuje naslednje korake:
    pošiljanje zahtevka (Ril) po dejanskem podatku (S), ki pripada lastniku (O), s strani entitete (EA) napravi (CS), pri čemer se z zahtevkom pošlje povezovalni podatek (L) in shranjevanje zahtevka v lokalni podatkovni bazi ali začasnem pomnilniku naprave (CS);
    - na podlagi prejetega povezovalnega podatka (L) pošiljanje zahtevka (R12) iz naprave (CS) lastniku (O) na elektronsko napravo (D) za dovoljenje za vpogled v dejanske podatke (S) lastnika (O);
    - odobritev vpogleda (R13) s strani lastnika (O) z vnosom skrivnega podatka (C) v elektronsko napravo (D);
    - pošiljanje odobritve (R14) napravi (CS), pri čemer se z odobritvijo posreduje skrivni podatek (C);
    - re-identifikacijo (R15) para povezovalnega podatka (L) in pripadajočega dejanskega podatka (S), na podlagi prejetega povezovalnega podatka (L) in prejetega skrivnega podatka (C), pri čemer reidentifikacija (R15) vključuje izdelavo psevdonimiziranega povezovalnega podatka (L') iz prejetega povezovalnega podatka (L) in prejetega skrivnega podatka (C) na enak način kot v predhodnem koraku de-identifikacije (Dll) in pridobivanje dejanskega podatka (S) lastnika (O) iz trajno nespremenljive porazdeljene in decentralizirane shrambe (DDB) na podlagi psevdonimiziranega povezovalnega podatka (L1) s strani naprave (CS);
    - pošiljanje (R16) dejanskega podatka (S) lastnika (O) entiteti (EA) s strani naprave (CS), pri čemer se prva faza lahko izvaja poljubno-krat in pri čemer se druga faza lahko izvaja poljubno-krat po vsaj eni izvedbi prve faze.
  2. 2. Metoda po zahtevku 1, značilna po tem, da se psevdonimizacija povezovalnega podatka (L), da dobimo psevdonimiziran povezovalni podatek (L1), izvede s simetrično kriptografsko šifrirno funkcijo, pri čemer je zašifrirani podatek zgostitev (H(L)) povezovalnega podatka (L) po enosmerni kriptografski zgoščevalni funkciji, ključ simetrične kriptografske šifrirne funkcije pa je skrivni podatek (C).
  3. 3. Metoda po zahtevku 1, značilna po tem, da se psevdonimizacija povezovalnega podatka (L), da dobimo psevdonimiziran povezovalni podatek (L'), izvede s simetrično kriptografsko šifrirno funkcijo, pri čemer je zašifrirani podatek zgostitev (H(L)) povezovalnega podatka (L) po enosmerni kriptografski zgoščevalni funkciji, ključ simetrične kriptografske šifrirne funkcije pa je zgostitev (H(C)) skrivnega podatka (C) po enosmerni kriptografski zgoščevalni funkciji.
  4. 4. Metoda po zahtevkih od 1 do 3, značilna po tem, da psevdonimizacijo povezovalnega podatka (L) izvede naprava (CS) po pošiljanju (Dl) povezovalnega podatka (L), skrivnega podatka (C) in pripadajočega dejanskega podatka (S) s strani skrbnika podatkov (DA).
  5. 5. Metoda po zahtevkih od 1 do 3, značilna po tem, da psevdonimizacijo povezovalnega podatka (L) izvede skrbnik podatkov (DA) in pošlje (D2) napravi (CS) psevdonimiziran povezovalni podatek (L1) in pripadajoči dejanski podatek (S).
  6. 6. Metoda po zahtevku 1, značilna po tem, da naprava (CS) po vpisu podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo (DDB) izbriše iz svoje lokalne podatkovne baze vse prejete podatke razen povezovalnega podatka (L) in pripadajočih kontaktnih podatkov lastnika (O) za kasnejše kontaktiranje lastnika (O) za pridobitev dovoljenja za vpogled.
  7. 7. Metoda po zahtevku 1, značilna po tem, da naprava (CS) po vpisu podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo (DDB) izbriše iz svoje lokalne podatkovne baze vse prejete podatke, pri čemer se kontaktiranje z lastnikom (O) za pridobitev dovoljenja za vpogled opravi preko namenske aplikacije na podlagi prejetega povezovalnega podatka (L), pri čemer je aplikacija nameščena na osebni napravi (D) lastnika (O) in povezana z namensko informacijsko-telekomunikacijsko rešitvijo znotraj naprave (CS).
  8. 8. Metoda po zahtevku 1, značilna po tem, da je odgovor na pošiljanje zahtevka (Ril) po dejanskem podatku (S), ki pripada lastniku (O) in/ali odgovor na pošiljanje zahtevka (R12) iz naprave (CS) lastniku (O) na elektronsko napravo (D) za dovoljenje za vpogled v dejanske podatke (S) lastnika (O), časovno omejen, pri čemer najdaljši dovoljeni čas (TEAmax) čakanja na vpogled v zahtevane podatke (S) določi entiteta (EA), in najdaljši dovoljeni čas (TCSmax) čakanja na odziv lastnika (O) podatkov za nadzor nad zahtevkom vpogleda določi upravitelj naprave (CS).
  9. 9. Naprava (CS) za shranjevanje podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo (DDB) in nadzor nad vsakokratnim vpogledom v podatke iz trajno nespremenljive porazdeljene in decentralizirane shrambe (DDB), pri čemer je naprava povezana v omrežje in vključuje vsaj centralno procesno enoto s pripadajočim vezjem za delovanje centralne procesne enote, komunikacijsko enoto za sprejemanje in pošiljanje sporočil in dostop do, branje in vpisovanje podatkov v (DDB), pomnilnike, ki so potrebni za programiranje in delovanje naprave in za lokalno podatkovno bazo, pri čemer je centralna procesna enota prirejena za izvajanje korakov:
    - sprejem (Dl) povezovalnega podatka (L), skrivnega podatka (C) in pripadajočega dejanskega podatka (S) in de-identifikacijo (Dll) para povezovalnega podatka (L) in pripadajočega dejanskega podatka (S), tako da se izdela enoznačni psevdonimiziran povezovalni podatek (L1);
    - ali sprejem (D2) psevdonimiziranega povezovalnega podatka (L') in pripadajočega dejanskega podatka (S);
    - vpis (D3) psevdonimiziranega povezovalnega podatka (L') in pripadajočega dejanskega podatka (S), v trajno nespremenljivo porazdeljeno in decentralizirano shrambo (DDB);
    sprejem zahtevka (Ril) po dejanskem podatku (S), ki pripada lastniku (O), skupaj s povezovalnim podatkom (L) in shranjevanje zahtevka v lokalni podatkovni bazi;
    - na podlagi prejetega povezovalnega podatka (L) pošiljanje zahtevka (R12) lastniku (O) na elektronsko napravo (D) za dovoljenje za vpogled v dejanske podatke (S) lastnika (O);
    - sprejem odobritve (R14) za vpogled v dejanske podatke (S) lastnika (O) od lastnika (O), pri čemer se z odobritvijo posreduje skrivni podatek (C);
    - re-identifikacijo (R15) para povezovalnega podatka (L1) in pripadajočega dejanskega podatka (S), na podlagi prejetega povezovalnega podatka (L) in prejetega skrivnega podatka (C), pri čemer reidentifikacija (R15) vključuje izdelavo psevdonimiziranega povezovalnega podatka (L') iz prejetega povezovalnega podatka (L) in prejetega skrivnega podatka (C) na enak način kot v predhodnem koraku de-identifikacije (Dll) in pridobivanje dejanskega podatka (S) lastnika (O) iz trajno nespremenljive porazdeljene in decentralizirane shrambe (DDB) na podlagi psevdonimiziranega povezovalnega podatka (L');
    - pošiljanje (R16) dejanskega podatka (S) lastnika (O) entiteti (EA).
  10. 10. Naprava po zahtevku 9, značilna po tem, da se psevdonimizacija povezovalnega podatka (L), da dobimo psevdonimiziran povezovalni podatek (L'), izvede s simetrično kriptografsko šifrirno funkcijo, pri čemer je zašifrirani podatek zgostitev (H(L)) povezovalnega podatka (L) po enosmerni kriptografski zgoščevalni funkciji, ključ simetrične kriptografske šifrirne funkcije pa je skrivni podatek (C).
  11. 11. Naprava po zahtevku 9, značilna po tem, da se psevdonimizacija povezovalnega podatka (L), da dobimo psevdonimiziran povezovalni podatek (L1), izvede s simetrično kriptografsko šifrirno funkcijo, pri čemer je zašifrirani podatek zgostitev (H(L)) povezovalnega podatka (L) po enosmerni kriptografski zgoščevalni funkciji, ključ simetrične kriptografske šifrirne funkcije pa je zgostitev (H(C)) skrivnega podatka (C) po enosmerni kriptografski zgoščevalni funkciji.
  12. 12. Naprava po zahtevkih od 9 do 11, značilna po tem, da po vpisu podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo (DDB) izbriše iz svoje lokalne podatkovne baze vse prejete podatke razen povezovalnega podatka (L) in pripadajočih kontaktnih podatkov lastnika (O) za kasnejše kontaktiranje lastnika (O) za pridobitev dovoljenja za vpogled.
  13. 13. Naprava po zahtevkih od 9 do 11, značilna po tem, da po vpisu podatkov v trajno nespremenljivo porazdeljeno in decentralizirano shrambo (DDB) izbriše iz svoje lokalne podatkovne baze vse prejete podatke, pri čemer se kontaktiranje z lastnikom (O) za pridobitev dovoljenja za vpogled opravi preko namenske aplikacije na podlagi prejetega povezovalnega podatka (L), pri čemer je aplikacija nameščena na osebni napravi (D) lastnika (O) in povezana z namensko informacijsko-telekomunikacijsko rešitvijo znotraj naprave (CS).
SI201900098A 2019-05-22 2019-05-22 Metoda in naprava za shranjevanje, nadzor nad vpogledom in pridobitev podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe SI25850A (sl)

Priority Applications (2)

Application Number Priority Date Filing Date Title
SI201900098A SI25850A (sl) 2019-05-22 2019-05-22 Metoda in naprava za shranjevanje, nadzor nad vpogledom in pridobitev podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe
EP19177499.1A EP3742318B1 (en) 2019-05-22 2019-05-30 Method and device for the storing, inspection control and retrieval of data from a permanently immutable, distributed and decentralized storage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SI201900098A SI25850A (sl) 2019-05-22 2019-05-22 Metoda in naprava za shranjevanje, nadzor nad vpogledom in pridobitev podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe

Publications (1)

Publication Number Publication Date
SI25850A true SI25850A (sl) 2020-11-30

Family

ID=67184771

Family Applications (1)

Application Number Title Priority Date Filing Date
SI201900098A SI25850A (sl) 2019-05-22 2019-05-22 Metoda in naprava za shranjevanje, nadzor nad vpogledom in pridobitev podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe

Country Status (2)

Country Link
EP (1) EP3742318B1 (sl)
SI (1) SI25850A (sl)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI254233B (en) * 2001-10-11 2006-05-01 Symbasis Gmbh Data processing system for patient data
US10572684B2 (en) * 2013-11-01 2020-02-25 Anonos Inc. Systems and methods for enforcing centralized privacy controls in de-centralized systems
US20150149362A1 (en) * 2015-02-04 2015-05-28 vitaTrackr, Inc. Encryption and Distribution of Health-related Data
WO2017090041A1 (en) 2015-11-24 2017-06-01 Ben-Ari Adi A system and method for blockchain smart contract data privacy
EP3477527A1 (en) * 2017-10-31 2019-05-01 Twinpeek Privacy management

Also Published As

Publication number Publication date
EP3742318B1 (en) 2021-03-17
EP3742318A1 (en) 2020-11-25

Similar Documents

Publication Publication Date Title
US11093643B2 (en) Method and system for accessing anonymized data
US9813241B2 (en) Encrypted file storage
US9286484B2 (en) Method and system for providing document retention using cryptography
US7748045B2 (en) Method and system for providing cryptographic document retention with off-line access
US9674156B2 (en) Event-triggered release through third party of pre-encrypted digital data from data owner to data assignee
US7478418B2 (en) Guaranteed delivery of changes to security policies in a distributed system
CN110061983B (zh) 一种数据处理方法及***
CN102546664A (zh) 用于分布式文件***的用户与权限管理方法及***
KR100656402B1 (ko) 디지털 콘텐츠를 안전하게 배포하는 방법 및 그 장치
KR20130129429A (ko) 이동 단말기의 신분을 관리하는 방법 및 장치
KR102399667B1 (ko) 블록체인 기반 데이터 거래 및 보관을 위한 보안 시스템 및 그 방법
US10909254B2 (en) Object level encryption system including encryption key management system
US10951510B2 (en) Communication device and communication method
CN114239046A (zh) 数据共享方法
US20180367308A1 (en) User authentication in a dead drop network domain
CN111859443A (zh) 账户级区块链隐私数据访问权限管控方法及***
KR20120070829A (ko) 분산 네트워크 시스템에서 컨텐츠의 댓글을 공유하고 이용하는 장치 및 방법
US10740478B2 (en) Performing an operation on a data storage
CN102972004A (zh) 机密信息泄露防止***、机密信息泄露防止方法和机密信息泄露防止程序
CN108064437A (zh) 安全地共享内容方法及***
SI25850A (sl) Metoda in naprava za shranjevanje, nadzor nad vpogledom in pridobitev podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe
KR20150089116A (ko) 개인정보 관리 센터 및 이를 포함하는 개인정보 관리 시스템
KR102496829B1 (ko) 블록체인 기반 id 관리 장치 및 방법
Tcholakian et al. [Retracted] Self‐Sovereign Identity for Consented and Content‐Based Access to Medical Records Using Blockchain
Thota et al. Split key management framework for Open Stack Swift object storage cloud

Legal Events

Date Code Title Description
OO00 Grant of patent

Effective date: 20201203

KO00 Lapse of patent

Effective date: 20240226