PII & Tietosuoja Sanasto
Selkeät määritelmät keskeisistä tietosuoja-, sääntö- ja tietoturvatermeistä, joita käytetään alalla.
Tietosuoja & Sääntötermit
Henkilökohtaisesti tunnistettavat tiedot (PII)
Mikä tahansa tieto, joka voi tunnistaa tietyn henkilön, kuten nimet, sähköpostiosoitteet, sosiaaliturvatunnukset tai puhelinnumerot.
Anonymisointi
Irreversiibeli prosessi, jossa tietoja muutetaan siten, että yksilöitä ei voida tunnistaa suoraan tai epäsuorasti.
Pseudonymisointi
Tunnistettavien tietojen korvaaminen keinotekoisilla tunnisteilla (pseudonyymeillä), jolloin uudelleen tunnistaminen vaatii erikseen säilytettävän avaimen.
De-identifiointi
Henkilökohtaisia tunnisteita poistaminen tai peittäminen tiedoista, jotta niitä ei voida enää liittää tiettyyn henkilöön ilman lisätietoja.
Tietoaihe
Tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, jonka henkilötietoja käsitellään rekisterinpitäjän tai käsittelijän toimesta.
Rekisterinpitäjä
Yksikkö, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.
Tietojen käsittelijä
Yksikkö, joka käsittelee henkilötietoja rekisterinpitäjän puolesta rekisterinpitäjän ohjeiden mukaisesti.
Suostumus
Vapaaehtoinen, erityinen, tietoinen ja yksiselitteinen ilmaus tietoaiheen suostumuksesta henkilötietojensa käsittelyyn.
Laillinen peruste
Laillinen peruste, jonka mukaan henkilötietojen käsittely on sallittua, kuten suostumus, sopimustarve, laillinen velvoite tai oikeutettu etu.
Tietojen minimointi
Periaate, jonka mukaan kerättyjen henkilötietojen tulee olla riittäviä, asiaankuuluvia ja rajoitettuja siihen, mikä on tarpeellista tarkoitetun tarkoituksen kannalta.
Oikeus poistamiseen
Tietoaiheen oikeus saada henkilötietonsa poistettua, kun niitä ei enää tarvita, tunnetaan myös nimellä 'oikeus tulla unohdetuksi' GDPR:n mukaan.
Tietojen siirrettävyys
Tietoaiheiden oikeus saada henkilötietonsa rakenteisessa, yleisesti käytetyssä muodossa ja siirtää ne toiselle rekisterinpitäjälle.
Tietosuojavastaava (DPO)
Nimetty henkilö, joka vastaa organisaation tietosuojastrategian valvonnasta ja varmistaa tietosuojalakien noudattamisen.
Tietosuojan vaikutusten arviointi (DPIA)
Prosessi, jolla tunnistetaan ja minimoidaan projektin tietosuojariskit, mikä on vaatimuksena GDPR:n mukaan korkean riskin käsittelytoimille.
Tietomurto
Turvallisuustapahtuma, jossa henkilötietoihin päästään käsiksi, niitä paljastetaan, muutetaan tai tuhotaan ilman valtuutusta.
Sääntelykehykset
GDPR (Yleinen tietosuoja-asetus)
EU:n asetus, joka säätelee henkilötietojen käsittelyä Euroopan talousalueen henkilöiden osalta, voimassa toukokuusta 2018 lähtien.
CCPA (Kalifornian kuluttajansuojalaki)
Kalifornian osavaltion laki, joka myöntää kuluttajille oikeuksia heidän yrityksiltä kerättyihin henkilötietoihinsa, voimassa tammikuusta 2020 lähtien.
HIPAA (Terveydenhuollon tietosuoja ja vastuullisuuslaki)
Yhdysvaltain liittovaltion laki, joka asettaa standardit potilaiden arkaluontoisten terveydenhuoltotietojen suojaamiselle ilman suostumusta.
ISO 27001
Kansainvälinen standardi tietoturvahallintajärjestelmille (ISMS), joka määrittelee vaatimukset turvallisuusvalvontojen perustamiselle, toteuttamiselle ja jatkuvalle parantamiselle.
SOC 2 (Järjestelmä- ja organisaatiovalvonnat 2)
Auditointikehys palveluorganisaatioille, joka arvioi turvallisuuteen, saatavuuteen, käsittelyn eheyteen, luottamuksellisuuteen ja tietosuojaan liittyviä valvontoja.
Tekniset Termit
Nimien tunnistus (NER)
NLP-tekniikka, joka tunnistaa ja luokittelee nimettyjä entiteettejä tekstissä ennalta määriteltyihin kategorioihin, kuten henkilöiden nimet, sijainnit ja organisaatiot.
Luonnollisen kielen käsittely (NLP)
Tekoälyn haara, joka mahdollistaa tietokoneiden ymmärtää, tulkita ja tuottaa ihmiskieltä.
Kaavion tunnistin
Sääntöperusteinen tunnistin, joka käyttää säännöllisiä lausekkeita ja kontekstitietoja tunnistaakseen erityisiä tietomalleja, kuten luottokorttinumerot tai sosiaaliturvatunnukset.
Luottamusarvo
Numeraalinen arvo 0:n ja 1:n välillä, joka osoittaa, kuinka varma tunnistustekniikka on siitä, että tietty teksti vastaa tiettyä entiteettityyppiä.
Säännöllinen lauseke (Regex)
Merkkiyhdistelmä, joka määrittelee hakumallin, jota käytetään yleisesti rakenteellisten tietomuotojen, kuten puhelinnumeroiden tai sähköpostiosoitteiden, validoimiseen ja tunnistamiseen.
AES-256-GCM
Todennettu salausalgoritmi, joka käyttää 256-bittistä avainta Galois/Counter-tilassa, tarjoten sekä luottamuksellisuuden että eheyden vahvistamisen salatuille tiedoille.
Nollatietoinen salaus
Salausarkkitehtuuri, jossa vain käyttäjä pitää purkuavainta, mikä tarkoittaa, että edes palveluntarjoaja ei voi käyttää selkokielisiä tietoja.
Tokenisointi
Arkaluontoisten tietojen korvaaminen ei-arkaluontoisilla paikkamerkkeillä, jotka voidaan liittää takaisin alkuperäisiin tietoihin turvallisen haun kautta.
Tietojen peittäminen
Erityisten tietojen peittäminen tietojoukossa siten, että arkaluontoiset tiedot pysyvät piilossa, kun taas tiedot pysyvät käytettävinä testaukseen tai analyysiin.
Punaisuus
Arkaluontoisten tietojen pysyvä poistaminen asiakirjasta tai tietojoukosta, korvaten sen merkinnällä, kuten [POISTETTU].
Anonymisointimenetelmät
Korvata
Korvataan havaittu PII yleisellä paikkamerkillä, joka on samaa entiteettityyppiä, kuten 'John Smith' korvataan '<PERSON>'.
Peittää
Osittain peittää PII:tä korvaamalla merkkejä peittämissymboleilla, esimerkiksi muuntamalla '123-45-6789' muotoon '***-**-6789'.
Poistaa
Poistaa kokonaan havaittu PII tekstistä, jättäen alkuperäisestä arvosta ei mitään jälkeä.
Hajauttaa
Muuntaa PII kiinteän pituiseksi kryptografiseksi hajautukseksi, mikä mahdollistaa johdonmukaisen korvaamisen samalla, kun käänteinen prosessi on laskennallisesti mahdotonta.
Salata
Muuntaa PII AES-256-GCM-salauksella käyttäjän hallitsemalla avaimella, mahdollistaen valtuutetun käänteisen prosessin (de-anonymisointi) tarvittaessa.
Usein Kysytyt Kysymykset
Mikä on ero anonymisoinnin ja pseudonymisoinnin välillä?
Anonymisointi poistaa peruuttamattomasti kaikki tunnistettavat tiedot, joten uudelleen tunnistaminen on mahdotonta. Pseudonymisointi korvasi tunnisteet keinotekoisilla, pitäen erillisen avaimen, joka mahdollistaa uudelleen tunnistamisen, kun se on valtuutettu. GDPR:n mukaan pseudonymisoituja tietoja pidetään edelleen henkilötietoina.
Miksi PII-havainto käyttää sekä NLP:tä että kaavion tunnistajia?
NLP-mallit havaitsevat kontekstiin perustuvia entiteettejä, kuten henkilöiden nimiä ja sijainteja, joilla ei ole kiinteää muotoa. Kaavion tunnistajat käyttävät säännöllisiä lausekkeita rakenteellisten tunnisteiden, kuten sosiaaliturvatunnusten, luottokorttinumeroiden ja puhelinnumeroiden, havaitsemiseen. Molempien lähestymistapojen yhdistäminen maksimoi havaintotarkkuuden kaikissa entiteettityypeissä.
Mikä on nollatietoinen salaus ja miksi se on tärkeää?
Nollatietoinen salaus tarkoittaa, että vain sinä pidät purkuavainta — palveluntarjoaja ei voi lukea tietojasi. Tämä on tärkeää, koska jopa palvelimen tietomurron tapauksessa salatut tietosi pysyvät luettavina ilman avaintasi, tarjoten mahdollisimman vahvan tietosuojan.
Miten käänteinen salaus eroaa hajautuksesta?
Hajautus on yksisuuntainen muunnos — kun tiedot on hajautettu, alkuperäistä ei voida palauttaa. Käänteinen salaus (käyttäen AES-256-GCM:ää) mahdollistaa valtuutettujen käyttäjien, joilla on oikea avain, purkaa ja palauttaa alkuperäiset tiedot, mahdollistaen työnkulut, joissa de-anonymisointi on tarpeen.