Hvorfor snakker alle om innebygd personvern om dagen og hvorfor bør du som leder, utvikler, koder, arkitekt, prosjektleder, tester eller annen nøkkelperson også bry deg om dette? Innlegget ble publisert på bransjebloggen 3min 18 januar.
I 2012 arrangerte vi et frokostseminar om innebygd personvern. Da kom det 70–80 personer, og vi var kjempefornøyde. Da vi i høst lanserte vår veileder «Programvareutvikling med innebygd personvern» var det med nesten 700 deltagere i salen og omlag 2000 tilhørere på strømming.
Interessen for innebygd personvern har regelrett eksplodert. Det er ikke så rart. Det er nemlig et av de nye kravene norske virksomheter må følge, når vi i mai 2018 får nye personvernregler. Da erstattes dagens personopplysningslov med en ny personopplysningslov som gjennomfører EUs personvernforordning; General Data Protection Regulation (forkortet GDPR) i norsk rett. Dette kan du lese mer om på Datatilsynet.no
Hva er egentlig innebygd personvern?
Først og fremst må jeg understreke at dette ikke er noe nytt. Innebygd personvern er et prinsipp som ble utviklet i Canada på midten av 1990-tallet. Kort og godt handler det om å sikre at informasjonssystemene vi bruker oppfyller personvernprinsippene og ivaretar de registrertes rettigheter. Å ta hensyn til personvern i alle utviklingsfaser, bidrar til å sikre personvernet til de som eier opplysningene som registreres. Alt som utvikles, fra tjenester til programvare og fra apper til saksbehandlingssystemer, skal på denne måte bli og være personvernvennlige. Dette gir det beste utgangspunktet for å ivareta den registrertes personvern. Vi i Datatilsynet har derfor snakket varmt om, og anbefalt å bruke innebygd personvern i mange år.
Grunnleggende prinsipper og rettigheter
Personvernprinsippene handler om at personopplysninger skal behandles lovlig, rettferdig og gjennomsiktig. De skal kun brukes til det de var samles inn for (formålsbegrensning), det skal ikke samles inn flere opplysninger enn det som er nødvendig (dataminimering), opplysningene skal være riktige og de skal ikke lagres lengre enn nødvendig. Opplysningene skal være tilgjengelige for de som trenger dem, men ikke andre. Informasjonssikkerhet er også en viktig del av innebygd personvern. Samtidig er det helt essensielt å ha oversikt over hvilke personopplysninger dere behandler for å kunne vite at dere oppfyller prinsippene.
I tillegg har det nye regelverket hele 10 artikler som omfatter de registrertes rettigheter som det er helt vesentlig at alle som utvikler løsninger, system, apper og lignende forstår.
Og bare så det er nevnt. En personopplysning er en opplysning knyttet til en enkeltperson, for eksempel, et navn, en adresse, et bilde, et bilnummer, en IP-adresse eller et biometrisk kjennetegn som iris, fingeravtrykk eller ansikt.
Hvordan lage en nyttig veileder om innebygd personvern?
Kravet til å bruke innebygd personvern gjelder altså alle som samler inn, lagrer, bruker, forvalter, tester eller på annen måte bruker personopplysninger.
Da vi i høst utarbeidet veilederen «Programvareutvikling med innebygd personvern» gjorde vi tre hovedgrep for å gjøre veilederen best mulig for dere som skal bruke den;
Vi tok utgangspunkt i eksisterende rammeverk for utvikling, istedenfor å lage noe nytt som alle må følge i tillegg til alt annet. Da blir terskelen for å få dette på plass lavere enn om alle prosjektledere, utviklere, arkitekter og andre må lære seg enda et system eller planleggingssyklus. Vi har tatt utgangspunkt i Software Development LifeCycle (SDLC) og Microsoft Security Development Lifecycle (SDL). For hver aktivitet har vi sett på hvordan prinsipper, rettigheter og krav i personvernregelverket kan og bør inkluderes. Vi laget også praktiske sjekklister for hver av aktivitetene.
Vi er svært opptatt av at det vi veileder om er nyttig for de som skal bruke det. For å svare best mulig på de spørsmålene og utfordringer dere møter i hverdagen, inviterte vi syv sikkerhetseksperter og programutviklere inn i arbeidet. Vi hadde tre arbeidsmøter hvor vi diskuterte oss gjennom problemstillinger, muligheter og utfordringer før vi satte oss ned og skrev. Da veilederen var ferdig, ble den sendt på høring til arbeidsgruppa. Da endelig utkast forelå ba vi om tilbakemeldinger fra en utvidet gruppe med fagfolk. Vi er åpne for innspill og vil endre eller oppdatere veilederen fortløpende når vi mener det er behov for det.
Veilederen er dynamisk. Selv om vi har jobbet med og anbefalt innbygd personvern i mange år, er kravet nytt. Det betyr at vi vil følge opp kravet i våre kontroller. Innebygd personvern er din og min mulighet til å ivareta vårt personvern i dagens og morgendagens robotikk, bigdata, automatiserte avgjørelser, kunstig intelligens og så videre. Derfor er det viktig at veilederen oppdateres faglig i takt med utviklingen.
Syv aktiviteter for å sikre innebygd personvern
Veilederen beskriver syv aktiviteter; opplæring, krav, design, koding, test, produksjonssetting og forvaltning. Vi har laget en modell for å illustrere aktivitetene. Modellen er sirkelformet for å vise at både programvareutvikling og arbeidet med personvern er kontinuerlige prosesser.
For hver av aktivitetene har vi beskrevet hvordan personvern kan, bør og skal ivaretas. Vi har også laget sjekklister for hver aktivitet. Disse er tekniske og ment som hjelp for den eller de enkelte som utfører aktiviteten.
Det er opp til den enkelte virksomhet å vurdere hvilken metodikk som skal brukes, hvilke tiltak, områder og aktiviteter som skal vektlegges og hvor innsatsen skal økes. Valg av metodikk vil typisk påvirkes av tjenesteområde, virksomhet, type programvare som skal utvikles, og betraktninger rundt og oppfattelse av egen risiko.
Kort oppsummering av aktivitetene
- Opplæring. Denne aktiviteten sier noe om hva det er viktigst å gi opplæring i, hvordan det kan løses og hvilke verktøy som kan benyttes.
- Krav beskriver hvilke krav som stilles til personvern og sikkerhet, virksomhetens definisjon av toleransenivå for personvern og sikkerhet, og vurdering av sikkerhetsrisiko og vurdering av personvernkonsekvenser.
- Den neste aktiviteten er design. Aktiviteten deles inn i dataorienterte og prosessorienterte designkrav. I denne aktiviteten er det også viktig at virksomheten gjennomfører en analyse av angrepsflaten og en trusselmodellering.
- Aktiviteten koding understreker hvor viktig det er at utviklere bruker godkjente verktøy og rammer, at utrygge funksjoner og moduler ugyldiggjøres, og at statisk kodeanalyse og kodegjennomgang gjennomføres regelmessig.
- Test innebærer å teste om personvernkrav og sikkerhetskrav er implementert og at de er riktig implementert, gjennomføring av ulike tester og ny gjennomgang av trusselmodellering og angrepsflate for å sikre at identifiserte trusler og sårbarheter er håndtert og at nye ikke er introdusert.
- Før produksjonssetting lages en plan for hendelseshåndtering og en full sikkerhetsgjennomgang av programvaren. Deretter godkjennes produksjonssetting og all relevant data fra hele utviklingsløpet arkiveres.
- Den siste aktiviteten tar for seg forvaltning og drift av programvaren. Virksomheten bør være forberedt på å håndtere hendelser, avvik og angrep, og i stand til å gi ut oppdateringer, veiledning og informasjon til berørte, brukere og ulike instanser.
Les veilederen «Programvareutvikling med innebygd personvern».
Konkurranse
For å bidra til å øke bevisstheten om innebygd personvern og vise hvordan det kan brukes i praksis, utlyste vi i slutten av august en konkurranse. Vi inviterte alle som har en løsning, programvare, system eller noe annet utviklet med innbygd personvern til å sende dette inn til oss innen 1. desember. Konkurransen er inspirert av en lignende konkurranse som Datatilsynet i Katalonia arrangerer årlig.
Vi mottok 21 bidrag. Disse vurderes for tiden av en svært entusiastisk jury. Den 5. mars vil vi lansere vinneren i et arrangement på Nasjonalbiblioteket. Vi vil også lansere en ny konkurranse for å gi enda flere sjansen til å vise hva og hvordan dette kan gjøres. Vi håper og tror vinnerne og de andre bidragene i konkurransen vil være både til inspirasjon og hjelp for andre utviklere. Les mer om konkurransen.