Erfaringer med innebygd personvern i utvikling av mobilapper på UiO Maren Magnus Jegersberg og Dagfinn Bergsager USIT/UiO
UiO er Norges eldste institusjon for forsking og høyere utdanning 27 000 studenter 6 000 tilsatte God infrastruktur for IT er vesentlig i arbeidet med UiOs kjernevirksomhet Utdanning Forskning 04.09.2017 3
Forskningsprosjekter Ved UiO har vi tusenvis av forskningsprosjekter Veldig mange behandler personopplysninger, og i stor grad også sensitive personopplysninger En trend med innovative forskere som vil digitalisere og forenkle Nye muligheter med mobilapper 04.09.2017 4
Universitetets senter for informasjonsteknologi (USIT) Leverer IT til Universitetet i Oslo og universitets- og høyskolesektoren i Norge Drifter store, nasjonale tjenester for forskning og utdanning Eksempelvis Samordna Opptak og Studentweb Utvikler nye og nyskapende tjenester, f.eks: Tjeneste for sensitive data (TSD), Nettskjema, mobilapplikasjoner for forskning 04.09.2017 5
Strategier og strenge krav Disse leveransene hadde vi ikke klart uten å ha fokus på gode sikkerhetsstrategier og krav om innebygd personvern i alle ledd i prosessen Lang og utfordrende prosess, men vi nærmer oss Fokus på opplæring og dialog for å forstå ulike fagområder Konsekvensene ved å mislykkes er store og vi risikerer å miste tilliten i markedet vårt 04.09.2017 6
Innebygd personvern før og etter GDPR Tidligere var det ikke et krav etter loven, men anbefalte tiltak for å oppfylle brukernes rettigheter Etter GDPR er det inntatt i forordningen under generelle forpliktelser Viser viktigheten av kravene Gjelder for både behandlingsansvarlig og databehandler Organisatoriske tiltak Tidligere ble det sett på som unødvendig ekstraarbeid, nå er det et stort konkurransefortrinn 04.09.2017 7
7 steg til innebygd personvern Organisatoriske tiltak Tekniske tiltak Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. 1) Vær i forkant, forebygg fremfor å reparere 2) Gjør personvern til standardinnstilling 3) Bygg personvern inn i designet 4) Skap full funksjonalitet: Både-og, ikke enten-eller 5) Ivareta informasjonssikkerheten fra start til slutt 6) Vis åpenhet 7) Respekter brukerens personvern Hentet fra: https://www.datatilsynet.no/regelverk-og-skjema/lage-nye-losninger/innebygd-personvern/ 04.09.2017 8
Konflikt for utviklere: brukervennlighet versus personvern àpersonvern vant! Brukerne har en klar forventning om at vi oppfyller krav til: 1. Personvern 2. Tilgjengelighet 3. Brukervennlighet Bonusen vår dersom vi tenker i pose og sekk er: Vi følger loven og får lov til å lansere tjenesten, systemet, applikasjonen J Trygghetsfølelse Konkurransefortrinn Omdømmefortrinn Kostnadsbesparende 04.09.2017 9
Hvordan klarer vi å utvikle mobilapper som samler inn sensitive personopplysninger på lovlig vis? -jo, vi koder med og tenker innebygd personvern! 04.09.2017 10
Mobilapper med sensitive data Har utviklet 10 mobilapper som samler inn data med sensitive personopplysninger Har mobilapper som brukes klinisk på Rikshospitalet Har mobilapper som kan ta opp samtaler mellom klinikker og pasient 04.09.2017 11
Opplæring Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 12
Opplæring Organisatoriske tiltak Før: gjennomgang med sikkerhet og jus én gang i året Nå: alle må ha et forhold til sikkerhet og jus Utviklerforum med jevnlig fokus på personvern og sikkerhet Lokal programvare kjøpes inn sentralt, og sikkerhetsvurderes Sjekklister for utvikling av nye applikasjoner Avsjekk med sikkerhet og jus Planlegger obligatoriske kurs for alle utviklere og driftere høsten 2017/våren 2018 04.09.2017 13
Krav Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 14
Organisatoriske tiltak Prioriteringer for all utvikling 1. Sikkerhet og personvern 2. Bruksopplevelse for den som skal levere data 3. Funksjonalitet for den som samler inn data -Vi skal alltid være best på sikkerhet og personvern! -og fungere på alt utstyr for alle personer -og være enkel og bruke for datainnsamler 04.09.2017 15
Åpenhet Tekniske tiltak Åpen kildekode Vilkår for bruk Personvernerklæring Vi forteller om sikkerhetstiltak og arkitektur Åpne ROS-analyser som kan brukes som dokumentasjon for andre prosjekter Tett dialog med Datatilsynet og personvernombud på OUS REK og NSD kjenner godt til våre løsninger 04.09.2017 16
Åpenhet Gir gjennomsiktighet ved at vi er klare og åpne om hva vi gjør i applikasjonen med personopplysningene Informasjon om hvordan vi oppfyller grunnkravene etter loven, også etter GDPR Blant annet: reglene om vilkår for samtykke (art. 7 og 8) om informasjon og innsyn i personopplysninger (art. 13-15), korrigering og sletting (art. 16-20) 04.09.2017 17
Nye utfordringer med mobilapper Mobilappen må lagre noe data Når du leverte data sist ID på hvem som har levert svaret At du har installert appen kan kobles til at du har en diagnose Dersom appen mister nett, kan det være behov for å legge data i kø Data på mobiler blir ofte sikkerhetskopiert til apple/google 04.09.2017 18
som også gir juridiske problemstillinger Relevans og minimalitet hva er virkelig nødvendig å samle inn Fullstendighet og kvalitet opplysningene må være oppdaterte, korrekte og nøyaktige Informasjonssikkerhet vi må sikre mot uautorisert tilgang, utilsiktede endringer, ødeleggelse og spredning Særlig vern til sensitive personopplysninger Tekniske tiltak Rett i kjernen av de grunnleggende prinsippene for vern av 04.09.2017 19 personopplysninger (art. 5)
Design Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 20
Nettskjema.uio.no Egenutviklet applikasjon Samler inn data fra skjema via forms Innlogging med FEIDE eller ID-porten Lansert som sektorløsning for UH Høyt fokus på sikkerhet og personvern Samler inn forsknings- og studiedata (ca 3000 svar daglig) 04.09.2017 21
Tjenester for sensitive data Sikker forskningsplattform for UiO og andre offentlige forskningsinstitusjoner. Alle prosjekter får sin egen sikre server Arbeid med data skjer på serveren inne i TSD Mulig å få inn data samlet inn med Nettskjema fra web 339 aktive prosjekt 29.aug 2017 04.09.2017 22
Tekniske tiltak Teknisk design for datainnsamling Data leveres fortløpende fra telefonen Alle data defineres som skjerm på nett 04.09.2017 23
Koding Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 24
Organisatoriske tiltak Vår metode: Scrumban Morgenmøter med gjennomgang av tasks i Jira Har en slags teamleder (faller naturlig) Leder av morgenmøtet baseres på loddtrekning dagen før Veldig mye morsommere med ny scrummaster hver morgen! Prodsetter brancher den dagen Hver story har en dedikert eier Hele tiden endringer i hvordan vi bruker og gjennomgår Jira Hurra, vi er agile!
Organisatoriske tiltak Vår metode: Scrumban Ekstra langt morgenmøte på mandagen Jeg forteller hva som er viktigst denne uka Prioriteringer diskuteres Demo fra forrige ukes releaser Retrospekt en gang i måneden Gjennomgang av backlog i fellesskap en gang i måneden Alle oppgaver skal i jira Alle comitts i git skal godkjennens av en annen utvikler
Verktøy Før: noen kjøpte alt de ville Nå: mer komplisert og vi har strammet kraftig inn Høyere pris Hva lagres i skyen Konkurranseregler Krav om standardisering Jobber med nye rutiner 04.09.2017 27
Test Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 28
Bruk av personopplysninger i test Tekniske tiltak Organisatoriske tiltak Lovens krav gjelder også på testdata det samme vil det gjøre etter GDPR Formål, rettslig grunnlag etc. (art. 5, 6, 7, 8 m.fl.) Hovedregel ved UiO: Testing skjer på testdata Enten databaser hvor opplysningene har blitt anonymisert eller egne databaser med fiktive data Tung vei å gå, men den må gås Ingen trenger reelle data i test 04.09.2017 29
Tekniske tiltak Systematisk testing Alle apper pentestes før produksjon Endringer brukertestes av UX 04.09.2017 30
Produksjonssetting Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 31
Krav som må oppfylles før produkssetting Risiko- og sårbarhetsvurdering (art. 32) Sikre at applikasjonen har et tilstrekkelig sikkerhetsnivå sett opp mot risikoen Vurderes opp mot hva behandlingen er, omfanget, formålet og sammenhengen den utføres i Kan ikke tas i bruk før risikoen er ansett som akseptabel UiO må selv definere hvor stor risiko for brudd på informasjonssikkerheten vi kan akseptere Uautorisert tilgang, eksponering, endring, skade eller tap av personopplysninger og andre informasjonsverdier Organisatoriske tiltak 04.09.2017 32
Krav som må oppfylles før produkssetting Personvernkonsekvensanalyse (DPIA, art. 35) En vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for den enkeltes personvern Frem til nå har vi gjort dette sammen med risiko- og sårbarhetsanalysen Den skal skilles ut som en selvstendig analyse etter GDRP I samarbeid med personvernombudet/-rådgiver (art. 39) Organisatoriske tiltak Kravene til personvernkonsekvensanalyse øker i takt med sensitiviteten og omfanget av personopplysningene Kan være krav om forhåndsdrøftelse med Datatilsynet (art. 36) 04.09.2017 33
Tekniske tiltak Nøye på data som lagres i mobilapp Risikovurdert hver app ut i fra hvilke data som kan lagres i appen Pinkode StudieID håndteres som passord (Keyring) Bilder og lyd legges kryptert i kø dersom nett mangler Data i kø er ikke lesbare i appen Nøye kontroll over hva som blir tatt backup av 04.09.2017 34
Tekniske tiltak DevOps Produksjonsetter flere ganger om dagen uten nedetid Avhengige av automatiske tester som kjører hver gang Gjennomtenkt testdekning (ikke fullstendig) Alle på teamet prodsetter 04.09.2017 35
Forvaltning Illustrasjon hentet fra www.datatilsynet.no 04.09.2017 36
Tekniske tiltak Skanner jevnlig data Leter etter publiserte fødselsnummer hver natt Markerer alle skjema som samler inn personinformasjon Fjerner automatisk persondata etter en gitt periode Varsler bruker om at personopplysninger blir lagret og hvilke typer opplysninger 04.09.2017 37
Tekniske tiltak Scanning av kode Alle kode (i all utviklet software) og underliggende biblioteker og avhengigheter scannes hver natt for sårbarheter Basert på top ten OWASP 04.09.2017 38
04.09.2017 39
Hva gjør vi når vi oppdager/mistenker avvik? Klare rutiner for hendelseshåndtering som skal følges Dedikert team som er trent for situasjonene Institusjonene kjenner godt til rutinene Kartlegging av situasjonen og vurderer /iverksetter tekniske tiltak Eks. fjerner tilganger og kartlegger hvem som har aksessert informasjonen Tekniske tiltak Organisatoriske tiltak
Hva gjør vi når vi oppdager/mistenker avvik? Behandlingsansvarlig vurderer hendelsen og hvem som skal kontaktes Informasjon til de registrerte Organisatoriske tiltak Rapport sendes til personvernombudet som vurderer om Datatilsynet skal varsles Økte krav til hendelseshåndtering etter GDPR (art. 33 og 34) Rapportere avvik som omfatter brudd på konfidensialitet, integritet og tilgjengelighet av personopplysninger innen 72 timer Krever klare rutiner og god beredskap for håndtering
demo 04.09.2017 42