FP Anonymisation

Contents

  1. Context

  2. Design / Research

  3. Design / Solution

  4. Definitions

  5. Resources

1. Context

Value stream

  • Enabling a higher adoption of GN(E) by creating features that facilitate and support qualitative decision making in line with existing legislation.

  • Privacy sensitive data should be protected following GDPR rules.

  • By annotating more information, reporting on decisions can be automated and fine-tuned. Hence, reporting is mostly performed by manually check decisions one by one.

Basic Principle on privacy-related information (non ICT technical)

  1. Privacy-sensitive information needs protection

  2. For specific person data (e.g. race, religion and health) cannot made public.

  3. Making other person data public (e.g. staff of a local government) the right on public information (openbaarheid) vs. the right to protect the personal life environment (persoonlijke levenssfeer) should be envisaged.

  4. Be critical and anonomise! (e.g. RRN, signature,...)

  5. Sometimes consent is needed.

  6. Don't mention privacy-related data in notes etc.

Main Goals & tasks

  • annotate privacy related information within text

  • black-out automatically (make not visible) this information for certain roles or publications. Instead a "privacy" marker is added (e.g. person data, security data, ...) e.g. weapon store, security of art artifacts, name, location, alarm system,...

  • Generate a register van verwerkingsactiviteiten?

  • Documents (attachments) that are marked confidential

  • Binnen het pakket Gelinkt Notuleren van ABB is de mogelijkheid voorzien om bepaalde volledige agendapunten/beslissingen niet mee te publiceren als zij persoonsgegevens bevatten.

  • Omdat we weten dat de gebruiksvriendelijke systemen voor het anonimiseren van persoonsgegevens beperkt zijn, wil ABB op termijn ook zelf een oplossing aanbieden waarbij bijvoorbeeld gemakkelijk bepaalde stukken tekst of woorden geanonimiseerd kunnen worden.”

High level solution

  • idealitter GN eenvoudig aanduiden welke gegevens (persoonsgegevens / gevoelige ) niet mogen gepubliceerd worden, zodat bepaalde gegevens niet bevat of toont.

Examples and their target audience

Below non-exhaustive list of possible applications in the future.

  • OCMW: Bijzonder comité: geen publicatieverplichting?

  • information regarding candidates for a job?

  • tuchtsancties personeelsleden - wat met titel

  • medische informatie

  • aanbrengpremie voor persoon x?

Scope

In scope:

  • Ability to anonymise pieces of data in the editor & correct

  • Link to GDPR data on publication

Out of scope:

  • Determining a reason why data is anonymised

  • The possibility to remove a piece of a redaction. This isn’t a UX friendly pattern and is error-prone. Users will have to remove the redaction and apply a new one.

Open questions

  • particular data within text/document/session/agenda/decision list/... or the whole as non-public. - Decision; parts of text

  • What about Uittreksel (extraction) - Will be anonymised with a link to GDPR

  • When needed? if certain advise from certain person, should that person be protected for publication

  • What about the right to be forgotten? not for public environment?

2. Design / Research

Keywords

EN: anonymisation, hidden text, classified, redacting (the act of blacking out or censoring portions of text. For example removing personal, sensitive, or classified information from a document)

NL: redigeren, redactie, anonimiseren, verbergen, maskeren

Challenges

Gelinkt Notuleren

  • Waar plaatsen we de shortcut voor deze feature (vb. link in de balk bovenaan)

  • Hoe kunnen we geanonimiseerde informatie zichtbaar houden voor de editor (vb. door een soort highlight-aanduiding)

  • Hoe kunnen we inhoud/informatie aanpassen die alreeds geanonimiseerd is (vb. toevoegen/verwijderen van enkele woorden)

  • Hoe kunnen we geanonimiseerde informatie omschrijven, zodat de lezer van de publicatie meer context krijgt over de inhoud die verborgen werd?; Stellen wij dit voorop of laten we dit over aan de gebruiker?

  • Hoe kunnen we een tabel anonimiseren;

    • per cel?

    • volledig (incl. alle cellen)?

Publicatie GN

  • Hoe zouden we een indicatie kunnen maken van een geredigeerd stukje tekst?

  • Hoe zouden we aan de lezers kunnen uitleggen waarom dat stukje tekst geredigeerd is (context, FAQ, …)?

Questions / Assumptions

  • Hoe wordt een redactie weergegeven? (Vb. Type = naam + voornaam). Welke types kunnen dit zijn?

  • Moeten we kunnen anonimiseren in bulk? (vb. wederkerende e-mailadressen)

  • Is anonimiseren de kern die bekend is bij besturen? Of gebruiken ze een alternatief zoals verbergen, maskeren, … Op macOS gebruiken ze de terminologie ‘Redigeren’ in de menubalk en spreken ze van een ‘Redactie’ na het anonimiseren van een stuk informatie. → Conclusie: Meenemen naar user testing.

Inspiration

Conclusie: De meeste oplossingen, zoals onder andere bij Adobe Acrobat Reader, verwijderen definitief de redactie om te voorkomen dat gearceerde tekst nog uitgelezen zou kunnen worden. De redactie is dus definitief. In ons geval zal de redactie nog bewerkbaar moeten zijn in de GN omgeving alvorens het gepubliceerd wordt.

Redactor (Imperavi)

Toevoegen/aanpassen van een link in de tekst opent een modal, waarin verdere details/instellingen kunnen meegegeven worden. De modal wordt getriggerd door het link menu item in de editor balk.

Google Docs - SecretDocs plugin

Encrypt and hide sensitive information, share censored documents or collaborate securely.

https://www.docsecrets.net/

De zijbalk toont de informatie die geanonimiseerd werd + opties om aan te passen of terug beschikbaar te stellen voor de lezer. De schrijver ziet de tekst in de editor zoals getoond wordt aan de lezer.

Notion

In Notion bevat de commenting feature elementen die interessant zijn om te herbruiken. Het arceert de tekst inline en voegt een kader rechts toe, waardoor je:

  • een gemakkelijk overzicht hebt van al je comments;

  • en op een overzichtelijke manier acties kunt toewijzen aan de gearceerde tekst.

3. Design / Solution

User flows: whimsical link

Figma file

Usecases

In the editor of Gelinkt Notuleren

  • Use case 1: user applies a redaction to a piece of text

    • Mark/select a string of text in the editor that needs to be redacted (see artboard 1),

    • apply the redaction to the text (see artboard 2 & 3),

  • Use case 2: user has an overview of all redactions

    • have an overview of redactions made (see artboard 9),

    • highlight the redaction that you’re currently editing in the editor (see artboard 9) (this also works vice versa; clicking the redaction in the list will cause the editor to automatically scroll to the redacted text and highlight it)

  • Use case 3: user formats the text to bold to indicate an important piece of text for pre-publicatie readers

    • ability to format text within a redaction in the editor (see artboard 4, 5 & 6),

    • ability to add text within a redaction in the editor (see artboard 7 & 8)

❌ What we didn’t capture

  • The possibility to remove a piece of a redaction. This isn’t a UX friendly pattern and is error-prone. Users will have to remove the redaction and apply a new one.

Publicatie

  • Use case: the reader of a publication will see the information as hidden with the information ‘Verborgen informatie’ and has access to more context about why that information has been hidden.

    • display the redacted text with further information on why the text has been hidden (see artboard 10 & 11)

Opportunities for the future / Trade-offs

  • User testing is prior before expansion

  • Pre-publicatie: the redaction still has to be visible to certain roles in pre-publicatie. This also has to be researched.

  • Redacting tables as a whole would not be possible currently with the 'text selection' approach.

  • Annotating the type of redaction (e.g. personal information) to provide clarity for readers of Publicatie.

4. Definitions

Wat zijn persoonsgegevens?

Volgens artikel 4, §1 van de AVG gaat het om "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (...); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon".

Als een code de identificatiegegevens vervangt, blijft de persoon indirect identificeerbaar. De gecodeerde informatie moet op dezelfde manier als de persoonsgegevens worden beschermd.

We spreken pas van anonieme gegevens wanneer informatie redelijkerwijs niet meer kan worden gelinkt aan een individu (rekening houdende met de beschikbare technologie). De AVG is dan niet meer van toepassing.

Wat zijn "gevoelige" gegevens?

In de AVG wordt voorzien in een bijzondere bescherming voor de "gevoelige" persoonsgegevens.

De gezondheids- en genetische gegevens vallen onder de noemer "gevoelige" gegevens, net zoals de persoonsgegevens over ras of etnische afkomst, politieke overtuiging, godsdienst of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, de biometrische gegevens aan de hand waarvan een natuurlijke persoon op unieke wijze kan worden geïdentificeerd, alsook de gegevens over het seksuele leven of de seksuele geaardheid.

Welke basisbeginselen moet u naleven wanneer u persoonsgegevens verwerkt?

  • Rechtmatigheid, behoorlijkheid en transparantie U moet de persoonsgegevens verwerken op een wijze die rechtmatig, behoorlijk en transparant is ten aanzien van de betrokkene.

  • Doelbinding (verwerkingsdoeleinde) De persoonsgegevens worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen uitsluitend worden verwerkt op een wijze die verenigbaar is met die doeleinden.

  • Minimale gegevensverwerking (proportionaliteit) De persoonsgegevens moeten toereikend en ter zake dienend zijn en beperkt blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

  • Juistheid De persoonsgegevens moeten juist en geactualiseerd zijn. Onjuiste gegevens moeten onverwijld worden gewist of rechtgezet.

  • Opslagbeperking (termijn) De persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is.

  • Integriteit en vertrouwelijkheid De noodzakelijke (technische en organisatorische) maatregelen worden genomen om een beveiligde verwerking van de persoonsgegevens te garanderen.

5. Resources

Link to prototype (Figma): https://www.figma.com/file/aS08Ne4lw8JOF9YnvxRsi1/GN-Anonimisatie?node-id=2024%3A3664

Link to flow (Whimsical): https://whimsical.com/anonimisatie-gn-VoRv22WmZ7pwmgJBGKd4D1

PreviousRead onlyNextArchiving

Last updated