Ein begrenzter Datensatz, wie in Vorschriften wie HIPAA in den USA oder der DSGVO in Europa definiert, ermöglicht nur Daten, die auf ein bestimmtes Niveau nicht identifiziert wurden. Dies bedeutet, dass Informationen, die eine direkte Identifizierung einer Person haben, entfernt oder geändert wurde. Die Besonderheiten des Erlasses hängen jedoch stark von den anwendbaren Vorschriften und dem spezifischen Kontext (z. B. Forschung, Geschäftsanalyse) ab. Im Allgemeinen kann ein begrenzter Datensatz enthalten sein:
möglicherweise zulässig (mit geeigneten Schutzmaßnahmen und je nach Kontext):
* aggregierte Daten: Daten kombiniert von mehreren Personen, die die Identifizierung einer einzelnen Person verhindern (z. B. Durchschnittsalter von Patienten mit einer bestimmten Erkrankung).
* identifizierte Daten mit begrenzten Kennungen: Daten, bei denen einige Kennungen aufbewahrt werden, ihre Verknüpfung jedoch zu einer bestimmten Person ist äußerst schwierig. Dies ist eine Grauzone und erfordert sorgfältige Überlegungen. Beispiele könnten umfassen:
* Daten (aber oft begrenzt, z. B. nur Jahr, nicht genaues Datum): Das Geburtsjahr könnte akzeptabel sein, aber nicht Geburtsdatum.
* Geografische Informationen (allgemein definiert): Der Wohnsitz kann zulässig sein, die Postleitzahl wahrscheinlich nicht.
* Altersspanne (breiter Reichweite): "65-74 Jahre alt" und nicht "68 Jahre alt".
* Pseudonymisierte Daten: Daten, bei denen Kennungen durch Pseudonyme ersetzt werden. Ein Schlüssel wird normalerweise beibehalten, um Einzelpersonen neu zu identifizieren, aber dieser Schlüssel wird sicher getrennt gehalten und der Zugang ist eingeschränkt.
* Daten, die aus anderen Daten abgeleitet sind: Informationen, die statistisch aus den ursprünglichen Daten abgeleitet sind, aber nicht direkt Individuen (z. B. Korrelationen zwischen Variablen) identifizieren.
im Allgemeinen nicht erlaubt:
* Direkte Kennungen: Dies sind Dinge, die eine Person direkt identifizieren, wie:
* Vollständiger Name
* Sozialversicherungsnummer
* Krankenaktennummer
* Präzise Geolokationsdaten
* E-Mail-Adresse
* Telefonnummer
* IP -Adresse (sofern nicht stark anonymisiert)
* Biometrische Kennungen (Fingerabdrücke, Gesichtsabrechnungen)
* Quasi-Identifikatoren: Informationen, die in Kombination mit anderen Informationen verwendet werden können, um eine Person zu identifizieren. Während individuell harmlos ist, könnte eine Kombination ein Risiko sein (z. B. Alter, Geschlecht, Postleitzahl, spezifische Bedingung). Das Risiko wird auf der Grundlage einer Neuidentifizierungspotential bewertet.
wichtige Überlegungen:
* REISIDISIERUNGSRISIKO: Der wichtigste Aspekt ist das Potenzial, Personen aus den Daten zu identifizieren. Vorschriften erfordern häufig Bewertungen dieses Risikos.
* Kontextfaktoren: Das akzeptable Grad der Ent-Identifizierung kann je nach Datennutzung und geltenden Vorschriften variieren. Forschung kann entspanntere Standards ermöglichen als Marketinganalysen.
* Datenminimierung: Nur die erforderlichen Daten sollten in den begrenzten Datensatz aufgenommen werden.
* Datensicherheit: Robuste Sicherheitsmaßnahmen sind wichtig, um begrenzte Datensätze vor unbefugtem Zugriff zu schützen.
Es ist wichtig, relevante rechtliche und behördliche Leitlinien für bestimmte Anforderungen zu konsultieren, bevor ein begrenzter Datensatz erstellt und verwendet wird. Fehlinterpretation kann zu erheblichen rechtlichen und ethischen Fragen führen.
