1.
Tietosuoja otetaan huomioon uhkamallinnuksessa
Kun suoritetaan uhkamallinnusta (ks. 7.1 Tietoturvallisen arkkitehtuurin ja suunnittelun yleisperiaatteet), henkilötietovirtojen osalta keskustelussa on käytävä läpi myös tietosuoja-asiat.
Esimerkki: Jos uhkamallinnusta tehdään esimerkiksi Microsoft STRIDE -menetelmällä, laajennetaan keskustelua esimerkiksi TRIM-menetelmällä (ks. uhkamallinnuksen ohje) tai muulla kevyellä tietosuojavaikutusten arvioinnin menetelmällä.
2.
Henkilötietoja käsitellään vain, jos se on teknisesti tarpeen
Henkilötietojen käsittelyn tulee olla teknisesti välttämätöntä halutun toiminnallisuuden toteuttamiseksi. Tietosuojalainsäädäntö edellyttää henkilötietojen minimointia. Jos toiminnallisuus voidaan toteuttaa ilman jotakin tiettyä henkilötietoa, sitä ei pidä käsitellä lainkaan. Esimerkiksi henkilötunnuksia tai erityisiä henkilötietoryhmiä saa käsitellä ainoastaan lain sallimissa rajoissa.
3.
Henkilötietojen siirto järjestelmien välillä on tehtävä rajapintojen avulla
Henkilötietoja ei saa siirtää tiedostovientien tai suoran tietokanta- tai tiedostojärjestelmäpääsyn kautta, vaan niiden järjestelmien välillä siirtämistä varten on luotava kontrolloitu rajapinta. henkilötietojen siirrot järjestelmien välillä tulee dokumentoida esim. tietovirtakuvauksin osoitusvelvollisuuden täyttämiseksi.
Esimerkki: SQL-tietokanta sisältää henkilötietoja, joita useampi sovellus tarvitsee. Toteutetaan HTTP-rajapinta, josta henkilötiedot ovat saatavilla ja ainoastaan HTTP-rajapinnan toteutus pääsee SQL-kantaan. HTTP-rajapinta luo auditointilokitapahtumia rajapinnan käytöstä.
4.
Tietosuoja-asetuksen näin vaatiessa järjestelmän on toteutettava väliaikainen käsittelyn keskeytys
Jos tietosuoja-asetus käsittelyn perusteet huomioon ottaen tätä vaatii (artiklat 18 ja 21), järjestelmän on toteutettava kullekin järjestelmässä rekisteröidylle henkilölle tila, jossa järjestelmä lopettaa kyseisen henkilön tietojen käsittelyn (ml. lukemisen) muihin kuin erikseen määriteltyihin ylläpidollisiin tai viranomaistarkoituksiin. Tila on oltava kytkettävissä päälle ja pois.
5.
Henkilötiedot on pystyttävä tuomaan järjestelmästä
Järjestelmän on toteutettava riittävät rajapinnat sille, että tietyn rekisteröidyn henkilön henkilötiedot ja häntä koskevat järjestelmän käytöstä syntyneet tiedot voidaan tuoda ulos koneluettavassa muodossa.
6.
Henkilötiedot on pystyttävä poistamaan
Järjestelmän on toteutettava rajapinta henkilön poistamiselle järjestelmästä, mikäli järjestelmän käyttötarkoitus mahdollistaa poistopyynnöt lain nojalla tai jos henkilötietoja käsitellään suostumukseen perustuen. Tämä asettaa vaatimuksia käytetylle tietovarantorakenteelle, joka ei saa joutua epäkonsistenttiin tilaan henkilöiden poistamisen vuoksi. Yksi keino poistaa henkilötiedon on anonymisoida ne.
Jos poiston perusteena on rekisteröidyn oikeus tulla unohdetuksi, pitäisi tietojen poistamisen vaatimuksen koskea myös kaikkia niitä paikkoja, joihin henkilötietoja on mahdollisesti siirretty.
7.
Henkilötietojen viennistä toiselle rekisterinpitäjälle on jäätävä merkintä
Mikäli henkilötietoja viedään toiselle rekisterinpitäjälle, viennistä on jäätävä merkintä. Merkinnän on oltava saatavissa, jos rekisteröity käyttää lakisääteistä tietojenpoisto-oikeuttaan, ja nämä luovutustiedot on pystyttävä tuomaan järjestelmästä. Jos vientejä säännönmukaisesti tehdään vain ja ainoastaan tietyille muille rekisterinpitäjille, tätä ominaisuutta ei välttämättä tarvita.
8.
Henkilötietojen käsittelyyn pyydettävästä suostumuksesta ja sen perumisesta on jäätävä merkintä
Ks. Tietoturvallisten palvelurajapintojen ja käyttöliittymien yleisperiaatteet
Henkilötietoja saa käsitellä vain siinä käyttötarkoituksessa, johon ne on kerätty, ja käyttötarkoituksen laajentamisesta tulee informoida rekisteröityä. Suostumuksen antamisen yhteydessä olisi hyvä jäädä jälki varsinaisen suostumuksen lisäksi myös siitä, mihin käyttötarkoitukseen tiedot on kerätty. ?
9.
Henkilötietojen käyttöön liittyvät tiedot ja valinnat tuodaan käyttäjille oikea-aikaisesti ja oikeassa viitekehyksessä
Ks. Tietoturvallisten palvelurajapintojen ja käyttöliittymien yleisperiaatteet
10.
Henkilötietojen siirto on tehtävä aina salattua yhteyttä käyttäen
Ks. Käyttöpalveluympäristöt ja operationaaliset yleisperiaatteet
11.
Henkilötiedot on salattava silloin, kun ne on tallennettu
Ks. Käyttöpalveluympäristöt ja operationaaliset yleisperiaatteet. Tapauskohtaisesti on harkittava, tarvitaanko myös tietovarantotasoista (esimerkiksi tietokantataulu- tai rivikohtaista) salausta.
12.
Henkilötietoihin kohdistuvista luku- ja muutostapahtumista on tehtävä merkintä
Ks. 7.4 Auditoitavuuden yleisperiaatteet
13.
Henkilötietoja paljastavan rajapinnan on aina tarkistettava tunnistus ja valtuutus
Ks. Tietoturvallisten palvelurajapintojen ja käyttöliittymien yleisperiaatteet
14.
Viitteenä henkilöön tulisi käyttää satunnaista, käyttötapauskohtaista tunnistetta
Ellei ole erityistä syytä muuhun, mikäli henkilöön pitää antaa viite esimerkiksi toiselle palvelulle tai sidosryhmälle tai lokitiedostoon, viitteeksi pitäisi luoda kryptografisesti satunnainen ja käyttötapauskohtainen tunniste. Tunnisteen korrelointi henkilöön tulisi järjestelmän ulkopuolella olla vaikeaa tai mahdotonta.
15.
Henkilötiedoille on määritelty enimmäissäilytysaika
Tallennettaville henkilötiedoille on määritelty maksimisäilytysaika, joka perustuu lakiin tai operatiiviseen tarpeeseen. On myös määritelty, miten tiedot teknisesti poistetaan maksimisäilytysajan umpeuduttua.
Tässä luvussa kuvatut periaatteet pätevät ainoastaan järjestelmiin, joissa käsitellään henkilötietoja. Osa vaatimuksista on kuvattu muissa yleisperiaatteissa, jolloin tässä on annettu niihin vain viite.
Data protection by design and default: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-by-design-and-default/
Ohjeet (4/2019) 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta: https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_fi.pdf