Ενίσχυση της μεθοδολογίας Privacy Safeguard - PriS με βάση τον GDPR

Abstract

Οι σύγχρονοι ρυθμοί ζωής και η ανάγκη χρήσης της τεχνολογίας για την πραγματοποίηση των καθημερινών εργασιών έχει γίνει πλέον τρόπος ζωής για τους περισσότερους ανθρώπους και οργανισμούς. Η χρήση της τεχνολογίας αυτής απαιτεί την παροχή κάποιου είδους προσωπικών πληροφοριών με σκοπό την ταυτοποίηση του ατόμου και την αλληλεπίδρασή του με το σχετιζόμενο σύστημα. Παρέχοντας πολλές προσωπικές πληροφορίες ένα άτομο μπορεί να γίνει ευάλωτο σε επιθέσεις που έχουν τη δυνατότητα να παραβιάσουν το απόρρητό του. Για τον λόγο αυτό η ΕΕ εισήγαγε τον GDPR, σύμφωνα με τις διατάξεις του οποίου πρέπει να συμμορφώνονται όλοι οι οργανισμοί ώστε να προστατεύονται τα δικαιώματα των ατόμων στην ιδιωτική ζωή. Στα πλαίσια της εργασίας αυτής εξετάζεται ο τρόπος με τον οποίο μπορεί μια υπάρχουσα μεθοδολογία που σκοπό έχει την προστασία της ιδιωτικότητας να ενισχυθεί προκειμένου να ικανοποιεί ορισμένες από τις διατάξεις του GDPR. Πιο συγκεκριμένα αναλύεται η μεθοδολογία PriS, η οποία είναι μία μεθοδολογία προσανατολισμένη στους στόχους του συστήματος και σκοπό έχει την ενσωμάτωση απαιτήσεων απορρήτου εγκαίρως στη διαδικασία ανάπτυξης του συστήματος και κατ’ επέκταση του οργανισμού. Περιγράφονται επομένως τα βήματα που ακολουθεί, οι ιδιότητες απορρήτου που ικανοποιεί καθώς και το πλαίσιο πάνω στο οποίο στηρίζεται η προαναφερθείσα μεθοδολογία. Παράλληλα γίνεται μια περιγραφή της έννοιας του GDPR και επιπλέον μια περιγραφή του μοντέλου που ενισχύει τη μεθοδολογία και την ενισχύει, ώστε εφόσον εφαρμοστεί για την ανάπτυξη ενός νέου ή υπάρχοντος ΠΣ, το εν λόγω σύστημα να ικανοποιεί τις αρχές του GDPR. Προκειμένου να γίνει πιο κατανοητό το περιεχόμενο της εργασίας παρουσιάζονται αρχικά μεθοδολογίες που έχουν ως στόχο την προστασία της ιδιωτικότητας από τον σχεδιασμό και είναι προσανατολισμένες στους στόχους ενός συστήματος. Ο πρώτος λόγος που γίνεται η περιγραφή αυτή είναι διότι η μεθοδολογία PriS ανήκει σε αυτή την κατηγορία των μεθοδολογιών, μεθοδολογίες που είναι δηλαδή προσανατολισμένες στους στόχους του συστήματος. Ο δεύτερος λόγος είναι επειδή ανάμεσα σε αυτές τις μεθοδολογίες, η PriS είναι αυτή που ξεχωρίζει για λόγους που θα παρουσιαστούν παρακάτω και επιλέγεται ως η μεθοδολογία που θα ενισχυθεί με βάση τον GDPR. Πέρα από την περιγραφή γίνεται και η παρουσίαση έργων και μεθοδολογιών που συμμορφώνονται με τον GDPR. Προσδιορίζονται κατόπιν έννοιες σχετικές με τον GDPR, όπως οι οντότητες του, οι απαιτήσεις του αλλά και αρχές του και παράλληλα αναλύεται η έννοια του απορρήτου καθώς και ιδιότητες αυτού όπως η Ταυτοποίηση, η Αυθεντικοποίηση, η Εξουσιοδότηση, η Προστασία Δεδομένων, η Ανωνυμία, η Ψευδωνυμία, η Μη συνδεσιμότητα και η Μη παρατηρησιμότητα. Τέλος γίνεται αναλυτικά η περιγραφή του model 5W, ενός μοντέλου που μέσω των ερωτημάτων που θέτει δίνει τη δυνατότητα στο υποκείμενο των δεδομένων να δηλώσει τις προτιμήσεις του σχετικά με τη διάθεση, αποθήκευση και επεξεργασία των προσωπικών του δεδομένων. Το μοντέλο αυτό που χρησιμοποιείται για τον εμπλουτισμό της μεθοδολογίας PriS με βάση τις αρχές του GDPR περιγράφεται και γίνεται πιο κατανοητό με τη βοήθεια μιας μελέτης περίπτωσης.

Modern lifestyles and the need to use technology to perform daily tasks has now become a way of life for most people and organizations. The use of this technology requires the provision of some kind of personal information in order to identify the individual and each one’s interaction with the related system. By providing a lot of personal information a person can become vulnerable to attacks that have the potential to violate their privacy. For this reason the EU introduced the GDPR, according to the provisions of which all organizations must comply in order to protect the rights of individuals to privacy. In the context of this work there is an analysis of an existing methodology that aims to protect privacy and has a purpose to be strengthened in order to satisfies some of the provisions of the GDPR. More specifically, the methodology which is analyzed is well-known as PriS, which is a methodology oriented to system goals and its purpose is being incorporated to privacy requirements early in its developmental process system and by extension its organization. The steps that follow therefore described, the privacy properties it satisfies as well as the framework on which the aforementioned methodology is depended on . At the same time, a description of GDPR meaning is mentioned and in addition a description of the model that reinforces the methodology as long as it is implemented for the development of a new or existing PS, the system that satisfies GDPR principles. In order to make the content of the work more comprehensible, the methodologies are initially presented that aim to protect privacy by design and are oriented towards the goals of a system. The first reason why the description of PriS methodology is mentioned , because of the fact that it belongs to this category of methodologies, methodologies that are oriented towards the objectives of the system. The second reason is because among these methodologies, PriS is the one that stands out for reasons that will be presented below and is chosen as the methodology which will be enhanced based on the GDPR. In addition to the description, projects and methodologies are also presented that are GDPR compliant. Concepts relevant to the GDPR are then identified, such as its entities, its requirements but also its principles and at the same time the concept of privacy is analyzed as well as its properties such as Identification, Authentication, Authorization, Protection Data, Anonymity, Pseudonymity, Non-Connectivity and Non-Observability. Finally, the 5W model is described in detail, a model that, through the questions it inquires, enables the data subject to state his preferences regarding the disposal, storage and processing of his/her personal data. This model used to enrich the PriS methodology based on GDPR principles is described and made more comprehensible with the help of a case study.