ΕΛ/ΛΑΚ | creativecommons.gr | mycontent.ellak.gr |
freedom

Συμμόρφωση στις απαιτήσεις του GDPR μέσω λογισμικού ανοιχτού κώδικα

Για κάποιον σχετικό με την πληροφορική η 25η Μαΐου θα μπορούσε να μένει στη θύμισή του σαν  η μέρα που το 1977 έκανε πρεμιέρα η πρώτη ταινία του Πολέμου των Άστρων. Μια ταινία ορόσημο στην cyber κουλτούρα και αγαπημένη για τους περισσότερους από εμάς. Όλα αυτά μέχρι πέρυσι. Γιατί όπως ο κόσμος μας άλλαξε με την είσοδο του Χαν Σόλο και – κυρίως – της πριγκίπισσας Λέιλα, στις 25 Μαΐου του 2018 ο κόσμος μας πρόκειται να αλλάξει από μια , φαινομενικά κοινότυπη , απόφαση της Ευρωπαϊκής Επιτροπής. Την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων ή αλλιώς General Data Protection Regulation.

Γιατί όμως ένας κανονισμός είναι τόσο σημαντικός για εμάς;  Όπως είναι προφανές από τον τίτλο ο νέος αυτός κανονισμός αφορά τα δεδομένα και την διαχείρισή τους. Και όταν μιλάμε για δεδομένα , εννοούμε πολλά δεδομένα. Ναι, όλα αυτά που εμείς διαχειριζόμαστε.  Βάσεις δεδομένων, έγγραφα, logs είναι οι πιο βασικές κατηγορίες δεδομένων που ο Γενικός Κανονισμός μας επηρεάζει άμεσα. Η κάθε μία από αυτές απαιτεί και ένα διαφορετικό τρόπο προσέγγισης τον οποίο θα εξετάσουμε αφού πρώτα δούμε τι ακριβώς πρέπει να διασφαλίσουμε με τον νέο κανονισμό.

Το πρώτο και κύριο όπως περιγράφεται στα στο κεφάλαιο ΙΙ, άρθρα 5 εώς 11, είναι η αποτύπωση των δεδομένων που διαθέτει ένας φορέας – επιχείρηση , η κατηγοριοποίηση τους με τη τον σχετικό χαρακτηρισμό τους ως προσωπικά και ευαίσθητα, καθώς και ο καθορισμός του μηχανισμού συλλογής τους.

Ακολουθεί μια σειρά δικαιώματα του υποκειμένου των δεδομένων τα οποία περιγράφονται στο κεφάλαιο ΙΙΙ , άρθρα 12 εώς 23 τα οποία είναι τα ακόλουθα:

  • δικαίωμα στην ενημέρωση – άρθρα 12 εώς 14
  • δικαίωμα πρόσβασης στα δεδομένα – άρθρο 15
  • δικαίωμα διόρθωσης – άρθρο 16
  • δικαίωμα διαγραφής ή “δικαίωμα στη λήθη” – άρθρο 17
  • δικαίωμα περιορισμού επεξεργασίας και γνωστοποιήσεων επεξεργασίας – άρθρο 18 και 19
  • δικαίωμα φορητότητας δεδομένων – άρθρο 20

Τέλος τα άρθρα 30 εώς 33  περιγράφουν τις ανάγκες εποπτείας μέσω αρχείων καταγραφών δραστηριότητας επεξεργασίας καθώς και θέματα ασφάλειας των δεδομένων. Αν και δεν αναφέρεται ρητά η ανάγκη είναι προφανές ότι για να υπάρξει συμμόρφωση με τον κανονισμό υπάρχει ανάγκη ύπαρξης πολλών και διαφορετικών παρεμβάσεων σε πληροφοριακά συστήματα, υπάρχοντα ή νέα που πρέπει να αποκτηθούν για την εξυπηρέτηση του σκοπού της συμμόρφωσης. Ας τα δούμε αναλυτικά.

  • Καταλογογράφηση

Η καταλογογράφηση. Όπως αναφέρθηκε η πρώτη κίνηση που θα πρέπει να κάνει κάποιος για να ξεκινήσει την περιπέτεια της συμμόρφωσης με τον Κανονισμό είναι να γνωρίζει τα δεδομένα που έχει. Η αλήθεια είναι ότι αν πρόκειται για δημόσιο φορέα είναι κάτι που θα έπρεπε ήδη να έχει κάνει λόγω του νόμου 4305/2014 για τα ανοικτά δεδομένα. Ο νόμος βέβαια αυτός δεν προέβλεπε κυρώσεις με αποτέλεσμα να εφαρμοστεί κατά το δοκούν και χωρίς πολύ μεγάλη θέρμη. Η ουσία είναι ότι τόσο για τον 4305 όσο και τον GDPR μας είναι ιδιαίτερα χρήσιμα τα πληροφοριακά συστήματα καταλογογράφησης δεδομένων με την διαφορά ότι η χρήση τους θα αποτελεί εσωτερική λειτουργία του φορέα και της εποπτικής αρχής. Συστήματα ανοικτού κώδικα που θα μπορούσαν να ικανοποιήσουν την παραπάνω ανάγκη είναι το CKAN ή το DKAN αλλά και οποιοδήποτε σύστημα ανοικτού λογισμικού που θα μπορούσε να κάνει διαχείριση περιεχομένου με χρήση μεταδεδομένων όπως το Alfresco , το OpenKM ή το HippoCMS.

  • Η συλλογή. Τρεις βασικές κατηγορίες

Tα cookies

Τα log files

Το registration χρηστών

Tα cookies

Το πιο δύσκολο το πρώτο με τα cookies. Τα cookies είναι πληροφορίες που αποθηκεύονται στον υπολογιστή μας και μπορούν να αναγνωστούν από διαδικτυακές εφαρμογές και να κάνουν πιο “εύκολη” (σε κάποιες περιπτώσεις και απλά δυνατή) την πρόσβαση σε αυτές. cookies . Αν η εφαρμογή μας χρησιμοποιεί χρήστες σίγουρα η λύση ενός συστήματος διαχείρισης χρηστών και ταυτοτήτων είναι μονόδρομος. Πιθανά ότι και να κάνουμε θα χρειαστεί να αποσύρουμε και να γράψουμε ξανά ένα μέρος τουλάχιστον των δημόσιων εφαρμογών μας.

Τα logfiles.

Ξεχάστε τα χύμα log που κρατούσαμε στους server. Τώρα πια είναι απαραίτητη η χρήση log management software. Ευτυχώς υπάρχουν εξαιρετικές λύσεις ανοικτού κώδικα όπως το Graylog και το Kibbana που θα μπορέσουν να αποτελέσουν εξαιρετικά εργαλεία για τη συμμόρφωση,

Η εγγραφή χρηστών.

Το πιο σημαντικό και πιο ενδιαφέρον σημείο που επηρεάζει ο Κανονισμός. Τόσο στο σημείο της συλλογής όσο και στο θέμα της διαχείρισης. Είναι απαραίτητο ο μηχανισμός εγγραφής χρηστών να είναι συμβατός με τον κανονισμό. Να τηρεί δηλαδή πρωτίστως την απεμπλοκή του χρήστη με το αναγνωριστικό αναγνώρισης του στην εφαρμογή ώστε να είναι εύκολη η διαγραφή των στοιχείων του αλλά και ο τρόπος απόδοσής του ώστε να μην περιέχει το ίδιο στο σώμα του στοιχεία ταυτοποίησης του χρήστη. Την ίδια στιγμή αναδεικνύεται η ανάγκη για ενημέρωση των χρηστών για τα στοιχεία τους. Η δημιουργία χρηστών και η ύπαρξη προφίλ χρήστη μπορεί να αποτελέσει ένα σημαντικό εργαλείο συμμόρφωσης στον κανονισμό την ίδια στιγμή που αυξάνει την ασφάλεια των δικτυακών εφαρμογών και διευκολύνοντας την εμπειρία του χρήστη.

Το πολύ ενδιαφέρον είναι ότι υπάρχουν εξαιρετικά ώριμες λύσεις ανοικτού κώδικα αναφορικά με τα συστήματα ταυτοποίησης και εξουσιοδότησης ή αλλιώς Identity Access Management (IAM). Ενδεικτικά μπορούμε να αναφέρουμε  το Red Hat Enterprise Linux Identify Management , το Midpoint της Evolveum και ο WSO2 Identity Server

Ο GDPR είναι εδώ. Δεν φέρνει κάποια εξωτική καινοτομία. Μας υποχρεώνει να εφαρμόσουμε τις ορθές πρακτικές διαχείρισης της πληροφορίας όπως θα έπρεπε να κάνουμε εδώ και χρόνια. Αυτή η υποχρέωση είναι και η μεγάλη αλλαγή που συντελείται. Συμμόρφωση σίγουρα δεν είναι η αποστολή email στις λίστες επικοινωνίας των πελατών μας. Ο δρόμος είναι δύσκολος και απαιτεί σοβαρότητα. Τα εργαλεία υπάρχουν και η τεχνογνωσία. Στο τέλος του δρόμου είναι βέβαιο ότι θα λειτουργούμε σε ένα καλύτερο και πιο αποδοτικό πλαίσιο και τότε θα υπάρξει το όφελος από τον κόπο της συμμόρφωσης.

Leave a Comment