Miten GDPR pitää huomioida ohjelmistokehityksessä?  



Suomalaisten organisaatioiden, yksityisten ja julkisten, pitää toimia EU:n GDPR-tietosuojalainsäädännön mukaisesti 2018 toukokuuhun mennessä. Moni yrittää suoriutua tästä vain sopimusmuutoksin ja lakimiesten voimin.

Tällaiset hankkeet eivät juuri koskaan voi onnistua ja tulevat kalliiksi, kun helppoja ja toimivia ohjelmistotyön muutoksia yritetään vältellä kalliiden sopimusmuutosten kautta.

Voiko turhan GDPR-työn välttää?

Voi. Tietojärjestelmien pitää olla GDPR-vaatimustenmukaisia vain, jos niissä on selvästi yksittäiseen eurooppalaiseen liitettävissä olevaa henkilötietoa. Suuressa osassa tietojärjestelmiä tätä tietoa toki on.

Vanhaan tapaan on kuitenkin turha jämähtää, sillä näin ei ole pakko toimia. Monista tilastollisista järjestelmistä voidaan jättää henkilötiedot kokonaan pois. Nämä ns. anonymisoidut tiedot eivät vaadi tietosuojalainsäädännön mukaisia toimia. Esimerkiksi useimmat tilastolliset analyysit voidaan suorittaa yhtä hyvin anonymisoiduille kuin alkuperäisille tiedoille.

Osasta järjestelmiä ei kaikkea henkilöön viittaavaa voida kuitenkaan poistaa. Esimerkiksi bonuskortin tietoja käsittelevään järjestelmään voidaan jättää ne avaimet, joilla toisten järjestelmien tiedot saadaan purettua ymmärrettävään muotoon niin, että vaikka tiedot joutuisivat vääriin käsiin, ei niistä vielä voisi päätellä kenestä todellisuudessa on kyse.

Tällainen pseudonymisoitu tieto on itsessään GDPR:n tavoitteiden mukaista ja näyttäisi siltä, että useat lainsäädännön vaatimukset kuten

  • tiedon käyttö vain alkuperäiseen tarkoitukseen
  • tietoturvaloukkausten raportointivelvollisuus
  • ja joissain tilanteissa jopa oikeus tiedon siirrettävyyteen sekä poistoon
  • uusien tietoturvaratkaisujen tarve

eivät koskisi pseudonymisoitua tietoa.

Edellä kuvattu toimintatapa mahdollistaa tilanteen, jossa vain muutama järjestelmä tulee pitää GDPR-vaatimuksien tasalla ja se on paljon helpompaa kuin jos järjestelmiä on kymmeniä tai satoja.

Ripaus leaniä GDPR-hankkeisiin

Olen vuosien varrella keskittynyt avoimeen lähdekoodiin, tietoturvaan, lean-menetelmiin ja tietosuojaan, ja olin onnesta soikeana, kun huomasin, että Mozilla, kuuluisa Firefox-selaimesta vastaava avoimen lähdekoodin pohjantähti, on lähestynyt tietosuojaa lean-maailmasta tutuin konseptein.

Mozillan Lean data practices -lähestymistavassa on kolme peruspilaria:

1. Stay lean

  • Kerää vain tietoa, jota tarvitset.
  • Älä säilytä tietoa, jota et enää tarvitse sekä
  • Anonymisoi kaikki tieto, jonka voit

2. Build in security

  • Rajaa pääsy tietoon niille, jotka sen todella tarvitsevat
  • Salaa tietoa sitä siirrettäessä
  • Ole tarkkana, mihin tiedon tallennat ja miten

3. Sitouta käyttäjäsi

  • Tietosuojan pitäisi olla itsestäänselvää
  • Jos näin ei ole kerro tarkkaan, mitä teet

Lean data practices ei kata kokonaan GDPR-vaatimuksenmukaisuutta, eikä siten suoraan riitä eurooppalaisten vaatimusten täyttämiseen, mutta se on erittäin selkeä tapa kuvata mistä todella on kyse.

Lean-ajattelun käyttäjäkeskeinen lähestymistapa on lähes täydellinen kuvaus siitä, mitä vaatimuksenmukaisuuden tästä eteenpäin tulisi olla. Tietosuojan maallikoille tämä yksinkertainen jaottelu saattaa auttaa ymmärtämään GDPR:n vaikutuksia.

Lean-ajattelu auttaa tietosuojatyössä

Leanin tavoin fiksu ja laillinen tietosuojatoiminta on keskittynyt sen ympärille mitä käyttäjä tarvitsee. Tieto, jota tallennetaan, vaikka sitä ei tarvita käyttäjän palvelemiseen on hukkaa, josta pitää päästä eroon. Prosessit, jotka ovat monimutkaisia, silloin kun yksinkertainen riittää, ovat huonoja tai jopa laittomia lainsäädännön valossa.

Lean-toiminta pakotti autotehtaat rakentamaan parempia kulkupelejä. Toyotan aloittama raikas ajattelutapa muutti koko toimialan toimintamallin.

Lean-ajattelu auttaa viemään läpi saman suuren muutoksen tietosuojatyössä.

Väitän, että hyvän tietosuojatoiminnan pitää muistuttaa enemmän lean-mentorointia kuin vanhakantaisen tietoturvaosaston tapaa toimia.

Mozillan blogiartikkeli aiheesta löytyy täältä.

 

Piirroskuva: Mozilla blog on Open Internet policy initiatives and developments

TallennaTallenna

2 kommenttia artikkeliin ”Miten GDPR pitää huomioida ohjelmistokehityksessä?  

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *