Yleinen tietosuoja-asetus ja ohjelmistoarkkitehtuuri
Hjerppe, Kalle (2018-05-22)
Yleinen tietosuoja-asetus ja ohjelmistoarkkitehtuuri
(22.05.2018)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
avoin
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe2018060425205
https://urn.fi/URN:NBN:fi-fe2018060425205
Tiivistelmä
Yleinen tietosuoja-asetus on Euroopan Unionin (EU) säätämä laki, joka tulee koskemaan kaikkea EU:n kansalaisten henkilötietojen käsittelyä. Asetusta aletaan soveltaa keväällä 2018. Yleinen käsitys on, että asetus tuo uusia vaatimuksia henkilötietoja käsitteleville tietojärjestelmille.
Tässä tutkielmassa vastataan kahteen kysymykseen: 1) Mitä yleinen tietosuoja-asetus vaatii henkilötietoja käsitteleviltä tietojärjestelmiltä? 2) Millainen ohjelmistoarkkitehtuuri kattaisi nämä vaatimukset tehokkaasti? Kysymyksiä tarkastellaan tietyn ohjelmistoja kehittävän tapausyrityksen kontekstista. Konteksti määritellään tutkielman aluksi.
Tietosuoja-asetuksen vaatimukset selvitetään käymällä systemaattisesti lakiteksti läpi, johtaen siitä lopulta vaatimusmäärittelyn. Vaatimusmäärittely kattaa tekniset vaatimukset, joihin ohjelmistoarkkitehtuurin tulee ottaa kantaa. Työssä löydettiin yhdeksän erillistä kokonaisuutta vaatimuksiksi.
Toiseen tutkimuskysymykseen vastataan suunnittelemalla vaatimusmäärittelyn kattava esimerkkiarkkitehtuuri. Suunnittelussa hyödynnettiin aiempaa tutkimusta aiheesta ja tapausyrityksen ominaisuuksia.
Ratkaisu koostuu kuudesta tietosuojamoduulista, jotka kattavat uudelleenkäytettävästi suurimman työn asetuksen vaatimuksista. Ne ovat ydinhenkilötietomoduuli, suostumuskeskus, lokitusarkkitehtuuri, oikeuksien hallinta, pseudonymisointiprosessi ja @PersonalData-annotaatioprosessori. Kukin esitellään tarkemmin tutkielmassa. Lopputuloksena löydettiin vähintään tapausyritykselle sopiva arkkitehtuuri. Työssä tehdyn arvioinnin mukaan se täyttää tietosuoja-asetuksen. Komponentteja voidaan käyttää muissakin konteksteissa. Tutkielmassa havaittiin myös mahdollisuuksia myöhemmälle työlle.
Tässä tutkielmassa vastataan kahteen kysymykseen: 1) Mitä yleinen tietosuoja-asetus vaatii henkilötietoja käsitteleviltä tietojärjestelmiltä? 2) Millainen ohjelmistoarkkitehtuuri kattaisi nämä vaatimukset tehokkaasti? Kysymyksiä tarkastellaan tietyn ohjelmistoja kehittävän tapausyrityksen kontekstista. Konteksti määritellään tutkielman aluksi.
Tietosuoja-asetuksen vaatimukset selvitetään käymällä systemaattisesti lakiteksti läpi, johtaen siitä lopulta vaatimusmäärittelyn. Vaatimusmäärittely kattaa tekniset vaatimukset, joihin ohjelmistoarkkitehtuurin tulee ottaa kantaa. Työssä löydettiin yhdeksän erillistä kokonaisuutta vaatimuksiksi.
Toiseen tutkimuskysymykseen vastataan suunnittelemalla vaatimusmäärittelyn kattava esimerkkiarkkitehtuuri. Suunnittelussa hyödynnettiin aiempaa tutkimusta aiheesta ja tapausyrityksen ominaisuuksia.
Ratkaisu koostuu kuudesta tietosuojamoduulista, jotka kattavat uudelleenkäytettävästi suurimman työn asetuksen vaatimuksista. Ne ovat ydinhenkilötietomoduuli, suostumuskeskus, lokitusarkkitehtuuri, oikeuksien hallinta, pseudonymisointiprosessi ja @PersonalData-annotaatioprosessori. Kukin esitellään tarkemmin tutkielmassa. Lopputuloksena löydettiin vähintään tapausyritykselle sopiva arkkitehtuuri. Työssä tehdyn arvioinnin mukaan se täyttää tietosuoja-asetuksen. Komponentteja voidaan käyttää muissakin konteksteissa. Tutkielmassa havaittiin myös mahdollisuuksia myöhemmälle työlle.