Syftet med denna policy är att ge instruktioner om hur man bedömer ändringar, uppdateringar eller förbättringar av Indivds patenterade anonymiseringsmetod. För att uppnå detta har Indivd upprättat instruktioner om hur man bedömer ändringar, uppdateringar eller förbättringar och vilken åtgärd som kommer att vidtas beroende på resultatet av riskanalysen.
Bakgrund
Denna anonymiseringspolicy är inriktad på hanteringen av Indivds patenterade anonymiseringsmetod ("Metoden") och insikten om att förändringar, uppdateringar eller förbättringar kan påverka Metodens förmåga att anonymisera. Denna policy säkerställer att ändringar, uppdateringar eller förbättringar av Metoden aldrig ökar risken för att Metoden kan ha en minskad förmåga att anonymisera. Denna policy stödjer också Indivds styrelse, anställda, konsulter, säljare, leverantörer och partners att följa Indivds interna policyer samt alla juridiska eller regulatoriska krav som kan vara tillämpliga när de installerar eller distribuerar ändringar, uppdateringar eller förbättringar för Metoden.
Omfattning
Denna policy gäller för alla som är engagerade av indivd i förändringar, uppdateringar eller förbättringar av Metoden. Detta inkluderar styrelse, anställda, konsulter, säljare, leverantörer och partners.
Instruktioner för förändringar, uppdateringar eller förbättringar
En riskanalys ska genomföras och dokumenteras före installation eller driftsättning. Riskanalysen ska resultera i följande definitioner;
- Kommer att minska Metodens anonymitet
- Har potential att minska Metodens anonymitet
- Kommer inte att minska Metodens anonymitet
Åtgärder beroende på riskanalys
Ändringar, uppdateringar eller förbättringar som kommer att minska anonymiteten för Metoden: Är strängt förbjudna att installera eller driftsätta.
-
Ändringar, uppdateringar eller förbättringar som minskar metodens anonymitet: Är strängt förbjudna att installeras eller distribueras.
-
Ändringar, uppdateringar eller förbättringar som har potential att minska anonymiteten för The Method: Måste skickas till produktägaren och chefen för AI som kommer att fatta ett majoritetsbeslut om hur man ska hantera ändringen, uppdateringen eller förbättringen innan den installeras eller distribueras. En 50/50-split kommer att resultera i ingen åtgärd.
-
Kommer inte att minska anonymiteten för Metoden: Får installeras eller distribueras.
Ansvarsområden
Produktägaren och AI-chefen - ansvarar för att genomföra en riskanalys för ändringar och uppdateringar och utvärdera lämpliga åtgärder i varje enskilt fall.
Företagets chefer - ansvarar för att alla anställda eller konsulter inom företaget känner till denna policy.
Alla som är engagerade i Metoden såsom Indivds styrelse, anställda, konsulter, säljare, leverantörer och partners - är ansvariga för att följa denna policy.
Definitions
The method is as described in Indivd’s Service Summary.
“Anonymization” can be assessed based on three criteria: (i) is it still possible to single out an individual, (ii) is it still possible to link records relating to an individual, and (iii) can information be inferred concerning an individual? In its opinion WP216, Working Party 29 states: “Once a dataset is truly anonymized and individuals are no longer identifiable, European data protection law no longer applies.”
“No action” means that the change, update, or enhancement will not be installed, or deployed.
“Installed” or “Deployed” means to dispatch, upload, use, install, etc. software(s) or hardware(s) on a server where Indivd X operates.
“Strictly forbidden” means that a change, update, or enhancement is not allowed to be installed or deployed.
Definitioner
Metoden är den som beskrivs i Indivds Service Summary.
"Anonymisering" kan bedömas utifrån tre kriterier: (i) är det fortfarande möjligt att peka ut en enskild person, (ii) är det fortfarande möjligt att koppla samman uppgifter som rör en enskild person, och (iii) kan information härledas till en enskild person? I sitt yttrande WP216 konstaterar arbetsgrupp 29 följande: "När ett dataset verkligen är anonymiserat och enskilda personer inte längre kan identifieras, gäller inte längre den europeiska dataskyddslagstiftningen."
"Ingen åtgärd" innebär att ändringen, uppdateringen eller förbättringen inte kommer att installeras eller distribueras.
"Installerad" eller "distribuerad" innebär att skicka, ladda upp, använda, installera etc. programvara eller hårdvara på en server där Indivd X är verksamt.
"Strikt förbjudet" innebär att en ändring, uppdatering eller förbättring inte får installeras eller distribueras.
Revisionshistorik
- Version 1.1: 24 juli 2020 - Uppdaterade beskrivningar av anonymisering (Författare: Fredrik Amréus Hammargården)
- Version 1.0: 21 mars 2020 - Initial version (Författare: Fredrik Amréus Hammargården)