IT UNIVERSITY OF COPENHAGEN

Privacy-by-design& compliance i forhold til persondataforordningen med DCR-grafer

Thomas T. Hildebrandt

IT Universitet i København

Databeskyttelsesdagen26. januar, 2017 IT

UN

IVER

SITY

OF

COPE

NH

AG

ENSUBMISSION OF WRITTEN WORKClass code:

Name of course:

Course manager:

Course e-portfolio:

Thesis or project title:

Supervisor:

Full Name: Birthdate (dd/mm-yyyy): E-mail:

1. @itu.dk

2. @itu.dk

3. @itu.dk

4. @itu.dk

5. @itu.dk

6. @itu.dk

7. @itu.dk

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Kort om mig selv• 2000: PhD i datalogi, Aarhus Universitet

• 2000-2003: Studieprogramleder for Internet & software teknologi, IT Universitet i København (ITU)

• 2004-2011: PhD-skoleleder

• 2007- Leder af flere forskningsprojekter indenfor sikkerhed og digitalisering af forretningsprocesser sammen med virksomheder

• 2012-: Konsulent & facilitator af interessegrupper for digitalisering infinit.dk, cfir.dk & videndanmark.dk

2

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Brug af persondata

3

ikke nyt at benytte persondata i forretningsprocesser….

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Digitalisering

4

Digitaliseringen gør det nemmere at indsamle, bruge og genbruge data

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Digitalisering

5

Digitaliseringen gør det nemmere at indsamle, bruge og genbruge data

…men også at miste overblikket over, hvor data er gemt, hvem der har adgang, hvordan den bruges og til hvilket formål

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Mulighed for bevidst misbrug

6

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

eller ved uheld

7

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Persondataforordningen

8

Persondata må kun benyttes, når det er nødvendigt til et oplyst og eksplicit godkendt formål

Persondata skal være up-to-date før brug og kunne udleveres gratis i maskinlæsbart format til personen

Automatiserede beslutninger på baggrund af profilering skal kunne forklares

Compliance skal dokumenteres

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Kend jeres processer og data

9

Strengt nødvendigt at kunne kortlægge og styre virksomhedens forretningsprocesser- med særlig fokus på dataindsamling & -behandling!

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Traditionel procesbeskrivelse

10

Rutediagrammer er ufleksible og svære at holde ved lige

178 Business Process Model and Notation, v2.0

Figure 10.32 provides an example of a Sub-Process that includes three Event Sub-Processes. The first Event Sub-Process is triggered by a Message, does not interrupt the Sub-Process, and can occur multiple times. The second Event Sub-Process is used for compensation and will only occur after the Sub-Process has completed. The third Event Sub-Process handles errors that occur while the Sub-Process is active and will stop (interrupt) the Sub-Process if triggered.

Figure 10.32 - An example that includes Event Sub-Processes

Transaction

A Transaction is a specialized type of Sub-Process that will have a special behavior that is controlled through a transaction protocol (such as WS-Transaction). The boundary of the Sub-Process will be double-lined to indicate that it is a Transaction (see Figure 10.33).

Book Flight

Book Hotel

BookingBooking

Get Credit Card

Information

Notify Customer

Failed Booking

Update Credit Card Information

Booking

BookingError 1

Cancel Flight

Cancel Hotel

Charge Credit Card

Update Credit Card

Info

Handle Compensation

Flight

Hotel

Update Customer

Record

Handle Booking Error

Flight

Hotel

BookingError 2

Notify Customer Invalid CCRetry Limit

Exceeded

Retry Limit Exceeded

BookingError 2

og svarer derfor ofte ikke til virkeligheden!

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Min forskning ved ITU• Agil formåls-orienteret kortlægning og digitalisering af

processer med Dynamic Condition Response Graphs i samarbejde med Exformatics

• Procesovervågning og proaktiv compliance i samarbejde med afdeling for Information Security, ETH Zurich

• Process mining & prescriptive process management i samarbejde med Tartu University

11

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Dynamic Condition Response Graphs

12

Agil beskrivelse af procesregler, der beskriver

Formål (purpose)Forudsætninger (conditions) for handlinger

Opfølgende handlinger (responses)Dynamisk fravalg af handlinger (dynamic exclusion)Dynamisk tilvalg af handlinger (dynamic inclusion)

med et samarbejdsværktøj der understøtter simulering, fleksibilitet, analyse og vedligeholdelse af procesregler

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Eksempel: Huskøb

13

DCRGraphs.net

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Eksempel: Huskøb

14

FormåletOplysninger om økonomi

er en betingelse for at kunne estimere købesum

response

conditionresponse

response

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Eksempel: Huskøb

15

response

conditionresponse

response

Del-formål: Hvilke persondata er nødvendige for at beregne købesum og finde huse?

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Nye handlinger kan flettes ind

16

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Tilsagn om brug af data til formål

17

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Sletning af data

18

Thomas T. Hildebrandt

Simulering af mulige sagsgange i DCRGraphs.net

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Levende dokumentation

20

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Rapporter (word, pdf, html)

21

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Find ruter og vælg perspektiv

22

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Find ruter og vælg perspektiv

23

Persondataperspektiv fravalgt

Sæt strøm til processerne

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Overvågning

25

Mægler Bank

hændelser (events)

Compliance monitor

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Proaktiv compliance

26

Mægler Bank

Proactive Policy Enforcement Point (kan udføre handlinger om nødvendigt)

[In the Nick of Time: Proactive Prevention of Obligation ViolationsComputer Security Foundations (CSF) Symposium 2016]

Privacy-by-design og compliance ifht persondataforordningen med DCR-grafer 26. januar 2017

Thomas T. Hildebrandt (hilde@itu.dk) IT UNIVERSITY OF COPENHAGEN

Summa summarum

27

• Nødvendigt med agil kortlægning af de faktiske processer - med fokus på formål og databehandling

• Dynamic Condition Response Graphs DCRGraphs.net: Fleksible proceskort der kan vedligeholdes, simuleres og analyseres i samarbejde

• Regel-baseret tilgang: Ekstra handlinger krævet f.eks. i forhold til persondatahåndtering kan flettes ind og ud

• Mulighed for overvågning og proaktiv compliance