EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling? Nettverksmøte 25. januar 2017 i Oslo Kim Knudsen Continuous Delivery Manager Norway
Emerging Themes TRUST PROTECTING DATA SECURITY GLOBAL DATA FLOWS ROLE OF TECHNOLOGY: IDENTITY, IAM, APIs, CLOUD, IOT
GDPR NEW REQUIREMENTS WITH NEW RIGHTS/ SIGNS TO USERS TECHNOLOGY STRATEGY STRONG ROLE FOR IDENTITY Data protection by design/default. Data protection impact assessments. Data protection officers. Certifications/seals/ codes of conduct. Data breach notification. Right to be forgotten/erasure. Companies will need to understand where there data is, how they collect it, and who can touch it. Strong, transparent, and enforceable identity policies and tools for authorization and authentication to ensure compliance.
Hva har skjedd og hva kommer til å skje? Hva er det General Data Protection Regulation - GDPR omhandler? Personopplysninger. Det er snakk om å styrke rettighetene og lage et felles regelverk for EU/EØS. 14 april 2016 vedtok EU parlamentet Regulativet (EU) 2016/679 General Data Protection Regulation Regulativet ble aktivt 24 mai 2016 Regulativet skal være innført senest 25 mai 2018 Ny personvernforordning utarbeides nå - Justis- og beredskapsdepartementet
Hvorfor bør/må jeg bry meg? En rekke nye krav og som følge av det prosesser så må forandres Beskytte data og sikkerhet er/blir særdeles viktig og som en følge av det også dokumentasjon og compliance Definisjonen av personopplysninger og bruken av disse vil forandres Bøter: Opptil 20 mill Euro eller 4% av WW omsetning.
Datatilsynet er på ballen
Utfordringen for test 1. Man trenger å vite at testere har tillatelse til å benytte data til test 2. Man trenger derfor å vite nøyaktig hvor personopplysninger finnes. Utfordringen er at veldig mange datamodeller er vanskelig å forstå og testere deler og lagrer informasjon ad hoc/tilfeldig 3. Man trenger å forstå eksakt hvilke konsekvens GDPR vil ha ovenfor nåværende test data management praksis sånn som maskering av data. 4. Personopplysninger kan kun benyttes i den sammenheng de er innhentet i.
Hvordan mange gjør det i dag Cloning Produksjon Utvikling/Test Og kan man fortsette slik?
Hvordan sørger vi for å imøtekomme kravene som EU GDPR stiller til oss som er utviklere og testere?
What does it mean to Pseudonymize data To mask data so that it can be processed in testing in a way compatible with the purpose for which consent was given Under the GDPR, this does not require that data is wholly anonymous, but that it is not directly identifying : All direct identifiers must be removed so that the data subject could only be identified using external information Mechanisms and organizational measures must be in place to keep the additional information separate
Anonymiserings konsepter Maskere Syntetiske data Hybrid/kombinasjon
Optimalisering av test data Generell utfordring: Tilgang til riktige test data med skikkelig kvalitet Kontinuerlig tilgang til test data (ingen ventetid) Se på EU GDPR som en mulighet til å optimalisere test data Riktig og god kvalitet på test data Mulighet til å generere test data som dekker alle behov Negativ testing Ekstrem caser Ting man ikke finner i produksjonsdataene Ingen ventetid for å få test data
Spørsmål??
Del 2 Analyse («Gap») av hvordan din organisasjon kan begynne å arbeide med og oppfylle kravet til ny personvernsforordning/eu GDPR?
Ansvar Hvor ligger ansvaret for å etterleve ny personvernsforordning? Ledelsen Men IT, da også test og utvikling må veilede
Juridiske betraktinger Konsesjon? Andre lover og regelverk, f.eks. finansloven? Avtaler med 3. part, dataansvarlig og databehandler mange avtaler bør gås igjennom på nytt (databehandleravtaler finnes dette og hvordan er de laget og formulert)
Organisasjon hvordan bør organisasjonen se ut? Data Protection Officer IT Sikkerhetsavdelingen Compliance officer Igjen test og utvikling må veilede
Nye krav I The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons. (Article 25)
Nye krav II Rett til å bli glemt (artikkel 19) Rett til å bli slettet (artikkel 17) Rett til portabilitet (artikkel 20) Rutiner ved brudd på regelverk inklusiv lekkasjer 72 timers frist Tillatelse må gis på en skikkelig måte (artikkel 25) Bruk av personopplysninger kun i den sammenheng de er innsamlet i (artikkel 5) Hva innebærer alle disse kravene og hvordan må vi forholde oss til det?
Analyse og vurdering Analyse av nå situasjonen Konsekvensutredning Hva må til for å komme i mål i henhold til ny personvernsforordning? Ting som typisk må på plass: Beredskapsplan Sikkerhetsstrategi Risikovurdering Håndtering av avvik Informasjonshåndtering
Analyse og vurdering for test og utvikling I Data profilering, forstå hvordan dataene blir brukt, datamodeller, hvor personopplysningene ligger, hvem som har adgang etc. Hvilke krav stilles til personopplysninger og bruken av disse. Hva har test lov til og hva har man ikke lov til. Hvilke virkemidler finnes for å kunne bruke «personopplysningslignende» informasjon i test
Analyse og vurdering for test og utvikling II Forstå forskjellen mellom de forskjellige virkemidlene Klar forståelse av hva som trengs å anonymiseres Tas de riktige grepene så vil man innenfor test «slippe unna/ikke bli rammet» av EU GDPR.
Hvordan skal test se på EU GDRP? Et regulativ som må oppfylles eller en mulighet til å optimalisere hele testprosessen
Optimalisering av test data I Generell utfordring: Tilgang til riktige test data med skikkelig kvalitet Kontinuerlig tilgang til test data (ingen ventetid) Se på EU GDPR som en mulighet til å optimalisere test data Riktig og god kvalitet på test data Mulighet til å generere test data som dekker alle behov Negativ testing Ekstrem caser Ting man ikke finner i produksjonsdataene Mangelfull eller dårlig testdekning Ingen ventetid for å få test data
Optimalisering av test data II Automasjon må på plass og da ende til ende automasjon Automasjon av test caser (Test casene genereres automatisk) Automasjon av test data (Test data genereres automatisk) Automasjon av test gjennomføringen/kjøringen av testen
Etablering av prosjekt for EU GDPR - Data for test og utviklings Eierskap Klar definisjon for bruken av personopplysninger ifm test Prosjekteier Målsetning Prosess, virkemiddel og verktøy Dokumentasjon og etterlevelse
Spørsmål? CA partnere innenfor området: Ciber Lemontree KnowIT Sogeti Sopra Steria CA viser sine løsninger innen Test Data Management løsninger 7 mars. Kl 16.30 hos Sopra Steria
Kim Knudsen Continuous Delivery Manager Norway Kim.knudsen@ca.com ca.com