Jeg har laget en info-pakke til deg som er arkitekt eller utvikler, og skal jobbe med personopplysninger.
- Kort intro til grunnbegrepene i personvern, og hva GDPR medfører av plikter og rettigheter
- En gjennomgang av hva de viktigste artiklene i forordningen vil medføre av krav til funksjonalitet
- En introduksjon til mekanismene for å anonymisere og pseudonymisere data
- Hva slags kompetanse du må ha, og viktige elementer i utviklingsprosessen
- Nyttige design- og arkitekturføringer
- Hva du bør spørre etter for å kunne jobbe bra med personvern
- Noen relevante verktøy som du kan bruke
Om du er arkitekt eller utvikler, vil du ha stor nytte av denne introen til GDPR: Lovverket trår i kraft 25.mai 2018, og setter helt absolutte krav til sikkerhet og personvern. Med bøter på opp til 4% av global konsernomsetning, blir vi tvunget til å lage nye systemer helt annerledes, og mange eksisterende må skrives om.
18. Plikter og rettigheter
o Plikter
o Behandlingsansvarlig er virksomheten som bruker opplysningene
o Databehandler håndterer dataene på vegne av virksomheten
o Underleverandør kan benyttes av Databehandler
o Dette reguleres i Databehandleravtaler
o Rettigheter
o De registrerte
o Et viktig poeng er å finne hjemmel for behandlingen av personopplysningene
24. GDPR
o Erstatter personopplysningsloven
o Det kan gis store bøter for overtredelser
o Det gis anledning til massesøksmål
o Ansvar løftes opp i styrerommet
o Vi er i en overgangsfase nå
o Kommer 25. mai 2018
o E-Privacy direktivet er også på trappene.
29. Article 25 – Data protection by design and default
o Bruker dere minimumsprinsippet for prosessering?
o Kan dere løskoble linken mellom den registrerte og informasjonen?
o Bruk teknikker for anonymisering og pseudonymisering
o Bruk gjerne en DPIA (Personvernkonsekvensutredning) for å sjekke.
30. Article 7: Conditions for consent
o Bedriften må kunne dokumentere at den registrerte har samtykket
o Om et samtykke trekkes tilbake, må det ha umiddelbar virkning
31. Article 15: Right of access by the data subject
o Det kan være behov for en informasjonsportal
o Og da må du ha autentisering
o Dette kan også være et sted for å administrere samtykker.
40. o Du trenger passende tekniske (f.eks. IAM) og organisatoriske tiltak
o Sikker programmering, og mekanismer som står i forhold til risikoen
o Skille forskjellige data mest mulig
o Mekanisme for varsling ved brudd?
Article 32-35: Security of processing
51. o Innfør støy så nærme som mulig innsamlingspunktet
o Støyen har en gitt statistisk distribusjon
o Statistikk-beregningene ”tar vekk” denne distribusjonen
o Brukes av bla. Apple i deres kart- og meldings- apper.
Differential Privacy
Anonymisering
53. ”Companies should keep
control of anonymized data.
Enough datapoints can lead
to de-anonymization
Heidi Shey, 6th september 2017
SENIOR ANALYST, FORRESTER RESEARCH
55. Relevante utdrag av Datatilsynets krav
o Dokumenterte personvernkonsekvens-vurderinger (DPIA) for alle prosjekter som
angår personvern-sensitive data eller medfører betydelig risiko
o Forhåndsdrøftelser med datatilsynet ved høy risiko
o Innebygd personvern
o Bedrifter må ha en grafisk oversikt over flyt av personopplysninger, med tekstlige
beskrivelser og begrunnelser
o Avvikshåndtering. Man skal melde inne mange flere avvik, og innen 72 timer etter at
de er oppdaget og man må lage systemer for å avdekke avvik.
o Dere må forankre alt dette i internkontrollsystemet
57. o Finnes det bransjenormer?
o Er dere underlagt andre lover og
regler?
o Hva er holdning og avveining til
sletting, logging, etc. På tvers av
systemer?
o Utarbeides med juss, IT drift,
forretning, sikkerhet, utvikling
o Det må gis nok opplæring
Bransje
Systemtype
Andre lover
GDPR
GDPR i en bransje og en organisasjon
58. GDPR og sikkerhet i en bedrift
o Bedriftens GDPR- implementasjon vil peke på
sikkerhets-policy (ofte ISO 27000)
o Begge disse må beskrives i
internkontrollsystemet
o Prosjektenes GDPR-implementasjon baserer
seg på bedriftens GDPR- og Sikkerhets-
opplegg
o Det påkreves av og til å kjøre
personvernkonsekvens-analyser (DPIA) som
inkluderer sikkerhet og personvern
GDPR
Sikkerhet
(ISO 27.000)
Avhengig av
Internkontrollsystemet
SystemA
DPIA
prosjekter
bedriften
GDPR
SystemB
GDPR
DPIA
Avhengigav
Beskrivesi
Beskrivesi
66. o Grunninnføring i personvern
o Kjenne til sikkerhets- og personvern-elementene i en
utviklingsprosess
o Kunne tenke systemdesign for personvern
o Kjenne til Personvernkonsekvensutredninger (DPIA)
o Å kunne kode sikkert (OWASP)
o Sikkerhetsarkitektur og mekanismer, infrastruktur
o Interaksjonsdesignere må kjenne til GDPR
o Forstå hvordan en skal håndtere integrasjon riktig.
Kompetanse for utviklere og arkitekter
67. Testdata er strengt regulert og..
o Mange sliter med dette
o Syntetiske testdata er å foretrekke
o Du kan bruke skarpe data så lenge du gir info og får
samtykke
o Men da må du dokumentére begrunnelse, flyt og sletting
o I nødsfall kan en argumentere for at testdata er beslektet
og nødendig for å kunne drive utvikling av tjenesten:
kompatibilitet
o Avtalefestet taushetsplikt er et minimum.
69. o Hvor lite informasjon kan applikasjonen klare seg med?
o Hva er den minste tiden det må beholdes?
o Hvordan minimerer dere koblingen mellom person og data?
o Kan personlig data krypteres?
o Minimalisér info i hvert system og prosess: “Need to know”
o Tenk pseudonymisering eller anonymisering gjennom hele
kjeden
Design for innebygd personvern
70. o Få kontroll hele stacken mht lekkasjer av personlige data
• Logger i firewall/lastbalanserer
• Logger på appserver
• Logger i database
• Backups
o Lag helhetlig filosofi rundt dataflyten grad for test-,
akseptanse- eller utviklingsmiljø
o Vurdér eventuell infrastruktur- og systemstøtte for å håndtere
sikkerhets-hendelser
Design for innebygd personvern
71. o Forankre utviklingen i bedriftens sikkerhetspolicy
o Om høy risk: En DPIA gir føringene.
Angrepsvektorer kan motvirkes i designet
o Dere er avhengige av god logging for å kunne
oppdage at løsningen er under angrep
o Noen på teamet må kunne sikkerhet godt, alle bør
kunne kode sikkert (owasp, least privilege)
o Tenk 0 trust i infrastrukturen og arkitekturen
o Sikkerhet bør testes i mange dimensjoner (se
Datatilsynets veileder).
Personvern er avhengig av sikkerhet
72. o Hvorfor systemet trenger informasjonen det behandler
o Hvor lenge systemet trenger å beholde persondata
o Hvilke (design)tiltak har blitt gjort for å beskytte dataene
o Avveininger og avgjørelser som tas - spesielt hvis de
kombinerer flere artikler, men tilsynelatende strider mot én
o Hvilke prosesser/rutiner som følges for å ivareta personens
interesser
o Hvilke prosesser/rutiner som følges ved hendelser.
Dokumentér
73. GDPR og Machine Learning/AI
o Deep Learning og andre teknikker kan dra med seg
fordommer (Bias)
o Husk at brukeren skal få mulighet til å se
beslutningsgrunnlaget og algoritmen
o Vurdér også etikken i vurderingene
o Husk å kunnne redegjøre for å hindre tilbakesporoing via
pseudonymisering og anonymisering ift. Working party 29
o Brukeren kan nekte automatiske beslutning hvis utfallet
har store konsekvenser
o Sporing av hvor dataene kommer fra (Data Lineage)
78. Bouvets metodeverk
1. Et godt forankret team
• Tilgang høyt opp
• Riktige deltagere
2. Analyse og opplæring
• Felles juridiske og
sikkerhetsmessige
vurderinger
• Etablering av prosjekt
og dokumentasjon
• Kartlegging av tilstand
per system (inkl. DPIA)
• Opplæringsaktiviteter
• Leverandør- og sky-
vurderinger
• Estimater og planer
for systemporteføljen
3. Justere prosedyrer og
implementere endringer
• Implementere
nødvendige
systemendringer
• Justering av
samtykker
• Justering av
leverandør-avtaler
• Justering av intern-
kontrollsystemet mht.
sikkerhet og GDPR
• Etablering av avviks-
håndtering
• Etablere kontinuerlig
vedlikehold
4. Et fungerende
internkontrollsystem
• Alle roller har riktig
"mindset"
• Alle vet hvilken
kompetanse de skal
ha, hvilke spørsmål de
skal stille, og hvilke
svar de skal gi
• Fungerende
avvikshåndtering
• Prosjekter kjøres iht.
GDPR