Erfaringer med innebygd personvern i utvikling av mobilapper på UiO. Maren Magnus Jegersberg og Dagfinn Bergsager USIT/UiO

Transkript

1 Erfaringer med innebygd personvern i utvikling av mobilapper på UiO Maren Magnus Jegersberg og Dagfinn Bergsager USIT/UiO

2 UiO er Norges eldste institusjon for forsking og høyere utdanning studenter tilsatte God infrastruktur for IT er vesentlig i arbeidet med UiOs kjernevirksomhet Utdanning Forskning

3 Forskningsprosjekter Ved UiO har vi tusenvis av forskningsprosjekter Veldig mange behandler personopplysninger, og i stor grad også sensitive personopplysninger En trend med innovative forskere som vil digitalisere og forenkle Nye muligheter med mobilapper

4 Universitetets senter for informasjonsteknologi (USIT) Leverer IT til Universitetet i Oslo og universitets- og høyskolesektoren i Norge Drifter store, nasjonale tjenester for forskning og utdanning Eksempelvis Samordna Opptak og Studentweb Utvikler nye og nyskapende tjenester, f.eks: Tjeneste for sensitive data (TSD), Nettskjema, mobilapplikasjoner for forskning

5 Strategier og strenge krav Disse leveransene hadde vi ikke klart uten å ha fokus på gode sikkerhetsstrategier og krav om innebygd personvern i alle ledd i prosessen Lang og utfordrende prosess, men vi nærmer oss Fokus på opplæring og dialog for å forstå ulike fagområder Konsekvensene ved å mislykkes er store og vi risikerer å miste tilliten i markedet vårt

6 Innebygd personvern før og etter GDPR Tidligere var det ikke et krav etter loven, men anbefalte tiltak for å oppfylle brukernes rettigheter Etter GDPR er det inntatt i forordningen under generelle forpliktelser Viser viktigheten av kravene Gjelder for både behandlingsansvarlig og databehandler Organisatoriske tiltak Tidligere ble det sett på som unødvendig ekstraarbeid, nå er det et stort konkurransefortrinn

7 7 steg til innebygd personvern Organisatoriske tiltak Tekniske tiltak Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. 1) Vær i forkant, forebygg fremfor å reparere 2) Gjør personvern til standardinnstilling 3) Bygg personvern inn i designet 4) Skap full funksjonalitet: Både-og, ikke enten-eller 5) Ivareta informasjonssikkerheten fra start til slutt 6) Vis åpenhet 7) Respekter brukerens personvern Hentet fra:

8 Konflikt for utviklere: brukervennlighet versus personvern àpersonvern vant! Brukerne har en klar forventning om at vi oppfyller krav til: 1. Personvern 2. Tilgjengelighet 3. Brukervennlighet Bonusen vår dersom vi tenker i pose og sekk er: Vi følger loven og får lov til å lansere tjenesten, systemet, applikasjonen J Trygghetsfølelse Konkurransefortrinn Omdømmefortrinn Kostnadsbesparende

9 Hvordan klarer vi å utvikle mobilapper som samler inn sensitive personopplysninger på lovlig vis? -jo, vi koder med og tenker innebygd personvern!

10 Mobilapper med sensitive data Har utviklet 10 mobilapper som samler inn data med sensitive personopplysninger Har mobilapper som brukes klinisk på Rikshospitalet Har mobilapper som kan ta opp samtaler mellom klinikker og pasient

11 Opplæring Illustrasjon hentet fra

12 Opplæring Organisatoriske tiltak Før: gjennomgang med sikkerhet og jus én gang i året Nå: alle må ha et forhold til sikkerhet og jus Utviklerforum med jevnlig fokus på personvern og sikkerhet Lokal programvare kjøpes inn sentralt, og sikkerhetsvurderes Sjekklister for utvikling av nye applikasjoner Avsjekk med sikkerhet og jus Planlegger obligatoriske kurs for alle utviklere og driftere høsten 2017/våren

13 Krav Illustrasjon hentet fra

14 Organisatoriske tiltak Prioriteringer for all utvikling 1. Sikkerhet og personvern 2. Bruksopplevelse for den som skal levere data 3. Funksjonalitet for den som samler inn data -Vi skal alltid være best på sikkerhet og personvern! -og fungere på alt utstyr for alle personer -og være enkel og bruke for datainnsamler

15 Åpenhet Tekniske tiltak Åpen kildekode Vilkår for bruk Personvernerklæring Vi forteller om sikkerhetstiltak og arkitektur Åpne ROS-analyser som kan brukes som dokumentasjon for andre prosjekter Tett dialog med Datatilsynet og personvernombud på OUS REK og NSD kjenner godt til våre løsninger

16 Åpenhet Gir gjennomsiktighet ved at vi er klare og åpne om hva vi gjør i applikasjonen med personopplysningene Informasjon om hvordan vi oppfyller grunnkravene etter loven, også etter GDPR Blant annet: reglene om vilkår for samtykke (art. 7 og 8) om informasjon og innsyn i personopplysninger (art ), korrigering og sletting (art )

17 Nye utfordringer med mobilapper Mobilappen må lagre noe data Når du leverte data sist ID på hvem som har levert svaret At du har installert appen kan kobles til at du har en diagnose Dersom appen mister nett, kan det være behov for å legge data i kø Data på mobiler blir ofte sikkerhetskopiert til apple/google

18 som også gir juridiske problemstillinger Relevans og minimalitet hva er virkelig nødvendig å samle inn Fullstendighet og kvalitet opplysningene må være oppdaterte, korrekte og nøyaktige Informasjonssikkerhet vi må sikre mot uautorisert tilgang, utilsiktede endringer, ødeleggelse og spredning Særlig vern til sensitive personopplysninger Tekniske tiltak Rett i kjernen av de grunnleggende prinsippene for vern av personopplysninger (art. 5)

19 Design Illustrasjon hentet fra

20 Nettskjema.uio.no Egenutviklet applikasjon Samler inn data fra skjema via forms Innlogging med FEIDE eller ID-porten Lansert som sektorløsning for UH Høyt fokus på sikkerhet og personvern Samler inn forsknings- og studiedata (ca 3000 svar daglig)

21 Tjenester for sensitive data Sikker forskningsplattform for UiO og andre offentlige forskningsinstitusjoner. Alle prosjekter får sin egen sikre server Arbeid med data skjer på serveren inne i TSD Mulig å få inn data samlet inn med Nettskjema fra web 339 aktive prosjekt 29.aug

22 Tekniske tiltak Teknisk design for datainnsamling Data leveres fortløpende fra telefonen Alle data defineres som skjerm på nett

23 Koding Illustrasjon hentet fra

24 Organisatoriske tiltak Vår metode: Scrumban Morgenmøter med gjennomgang av tasks i Jira Har en slags teamleder (faller naturlig) Leder av morgenmøtet baseres på loddtrekning dagen før Veldig mye morsommere med ny scrummaster hver morgen! Prodsetter brancher den dagen Hver story har en dedikert eier Hele tiden endringer i hvordan vi bruker og gjennomgår Jira Hurra, vi er agile!

25 Organisatoriske tiltak Vår metode: Scrumban Ekstra langt morgenmøte på mandagen Jeg forteller hva som er viktigst denne uka Prioriteringer diskuteres Demo fra forrige ukes releaser Retrospekt en gang i måneden Gjennomgang av backlog i fellesskap en gang i måneden Alle oppgaver skal i jira Alle comitts i git skal godkjennens av en annen utvikler

26 Verktøy Før: noen kjøpte alt de ville Nå: mer komplisert og vi har strammet kraftig inn Høyere pris Hva lagres i skyen Konkurranseregler Krav om standardisering Jobber med nye rutiner

27 Test Illustrasjon hentet fra

28 Bruk av personopplysninger i test Tekniske tiltak Organisatoriske tiltak Lovens krav gjelder også på testdata det samme vil det gjøre etter GDPR Formål, rettslig grunnlag etc. (art. 5, 6, 7, 8 m.fl.) Hovedregel ved UiO: Testing skjer på testdata Enten databaser hvor opplysningene har blitt anonymisert eller egne databaser med fiktive data Tung vei å gå, men den må gås Ingen trenger reelle data i test

29 Tekniske tiltak Systematisk testing Alle apper pentestes før produksjon Endringer brukertestes av UX

30 Produksjonssetting Illustrasjon hentet fra

31 Krav som må oppfylles før produkssetting Risiko- og sårbarhetsvurdering (art. 32) Sikre at applikasjonen har et tilstrekkelig sikkerhetsnivå sett opp mot risikoen Vurderes opp mot hva behandlingen er, omfanget, formålet og sammenhengen den utføres i Kan ikke tas i bruk før risikoen er ansett som akseptabel UiO må selv definere hvor stor risiko for brudd på informasjonssikkerheten vi kan akseptere Uautorisert tilgang, eksponering, endring, skade eller tap av personopplysninger og andre informasjonsverdier Organisatoriske tiltak

32 Krav som må oppfylles før produkssetting Personvernkonsekvensanalyse (DPIA, art. 35) En vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for den enkeltes personvern Frem til nå har vi gjort dette sammen med risiko- og sårbarhetsanalysen Den skal skilles ut som en selvstendig analyse etter GDRP I samarbeid med personvernombudet/-rådgiver (art. 39) Organisatoriske tiltak Kravene til personvernkonsekvensanalyse øker i takt med sensitiviteten og omfanget av personopplysningene Kan være krav om forhåndsdrøftelse med Datatilsynet (art. 36)

33 Tekniske tiltak Nøye på data som lagres i mobilapp Risikovurdert hver app ut i fra hvilke data som kan lagres i appen Pinkode StudieID håndteres som passord (Keyring) Bilder og lyd legges kryptert i kø dersom nett mangler Data i kø er ikke lesbare i appen Nøye kontroll over hva som blir tatt backup av

34 Tekniske tiltak DevOps Produksjonsetter flere ganger om dagen uten nedetid Avhengige av automatiske tester som kjører hver gang Gjennomtenkt testdekning (ikke fullstendig) Alle på teamet prodsetter

35 Forvaltning Illustrasjon hentet fra

36 Tekniske tiltak Skanner jevnlig data Leter etter publiserte fødselsnummer hver natt Markerer alle skjema som samler inn personinformasjon Fjerner automatisk persondata etter en gitt periode Varsler bruker om at personopplysninger blir lagret og hvilke typer opplysninger

37 Tekniske tiltak Scanning av kode Alle kode (i all utviklet software) og underliggende biblioteker og avhengigheter scannes hver natt for sårbarheter Basert på top ten OWASP

38

39 Hva gjør vi når vi oppdager/mistenker avvik? Klare rutiner for hendelseshåndtering som skal følges Dedikert team som er trent for situasjonene Institusjonene kjenner godt til rutinene Kartlegging av situasjonen og vurderer /iverksetter tekniske tiltak Eks. fjerner tilganger og kartlegger hvem som har aksessert informasjonen Tekniske tiltak Organisatoriske tiltak

40 Hva gjør vi når vi oppdager/mistenker avvik? Behandlingsansvarlig vurderer hendelsen og hvem som skal kontaktes Informasjon til de registrerte Organisatoriske tiltak Rapport sendes til personvernombudet som vurderer om Datatilsynet skal varsles Økte krav til hendelseshåndtering etter GDPR (art. 33 og 34) Rapportere avvik som omfatter brudd på konfidensialitet, integritet og tilgjengelighet av personopplysninger innen 72 timer Krever klare rutiner og god beredskap for håndtering

41 demo