Datenschutz-Grundverordnung & Testmanagement Wie passt das zusammen? ASQF Testing Day NRW, 26. April 2018 Ralf Mack, Principal Test Consultant / ATOS Dirk Hedderich, Senior Principal Business Consultant / Micro Focus
Dipl.-Ing. Ralf Mack Principal Test Consultant Atos Dipl.-Ing. Dirk Hedderich Senior Principal Business Consultant Micro Focus
Auswirkung der DSGVO auf das Testmanagement
Was sind personenbezogene Daten? Name Alter Geburtsdatum Titel Anschrift Telefonnummer Kontonummer Kreditkarten- Nummer / Prüfziffer IP-Adresse Foto Fingerabdruck...
Was ist DSGVO / GDPR? Was? General Data Protection Regulation Datenschutz-Grundverordnung Ziel? Harmonisierung des Datenschutzes für alle Bürger der Europäischen Union Wann? Gilt ab dem 25. Mai 2018 relevant für sehr lange Zeit Sehr hohe Geldbußen bis zu 4% des weltweiten Jahresumsatz Warum?
Die EU-DSGVO vereinheitlicht die Anforderungen an die Verarbeitung von personenbezogenen Daten Privacy by Design and Default, sowie Sicherheit in der Verarbeitung von personenbezogenen Daten. Die Erreichung Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit muss dauerhaft sichergestellt werden. Die Rechte der betroffenen Personen auf Zugriff, Berichtigung, Löschung und Portabilität ihrer Daten werden gestärkt RISK Ein Verzeichnis von Verarbeitungstätigkeiten und die Durchführung von Datenschutz-Folgeabschätzung (DPIA) sind verpflichtend Benachrichtigung der Aufsichtsbehörde nicht später als 72 Stunden und der Betroffenen ohne schuldhaftes Verzögern nach Erkennen einer Verletzung des Schutz von personenbezogenen Daten
Stärkere Rechte für Kunden und Non-Compliance führen zu geschäftsbedrohenden Herausforderungen Awareness Data Breach Blackmailing Business Enablement Sensibilität für den Schutz personenbezogener Daten steigt Das gesetzliche Recht auf Zugriff Berichtigung, Löschung und Portabilität ermächtigt den Kunden, Daten anzufragen Ein Datenschutz/ Datenleck Vorfall (wie NSA Affäre, JPMorgan Chase 2014, yahoo data breach 2013-2016) würde die Aufmerksamkeit für den Schutz persönlicher Daten explosiv steigern EU-DSGVO Compliance Erpressung: Bei Verstößen gegen die Rechte der Betroffenen drohen hohe Strafen Erpresser können aktiv werden, die Lecks entdecken und Unternehmen vor die Wahl stellen Die geschäftliche Nutzung der persönlichen Daten erfordert Compliance mit der EU- DSGVO 1. Erhöhte Anzahl von Kundenanfragen 2. Steigender Arbeitsaufwand 3. Geschäftsschädigende Geldstrafen 4. Erpressungsversuche
Verwendung personenbezogener Daten in Testsystemen nur in Ausnahmefällen zulässig EU DS-GVO Artikel Artikel 25 Durchführung technischer und organisatorischer Maßnahmen wie z. B. Pseudonymisierung, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen Artikel 89 Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt Mit diesen Garantien wird sichergestellt mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören Empfehlung zum Test mit personenbezogener Daten Test mit synthetischen Daten gut geeignet für Sonder-/ Fehlerszenarien hoher Aufwand für komplexer Daten-Konstrukte Test mit anonymisierten Daten Vollständige Anonymisierung teilweise schwierig (De-Anonymisierung durch Kombination von Daten!) Test mit echten Daten Vermeiden! Nur in Ausnahmesituationen nach strengen Regeln (vgl. z.b. https://www.datenschutzwiki.de/softwaretest_mit_echtdaten)
Schritte zum sicheren Umgang mit personenbezogenen Testdaten Kopieren der Prod-Daten Komplettkopien oder Teil-Kopien auf Testsystem übertragen Speicherplatz des Testsystems ausreichend? DSGVO beachten! Datensparsamkeit, Einwilligung, Nutzung etc. Identifizieren sensitiver Daten Wissen über Datenstruktur Maskieren der Daten Sinnvolle Maskierung Relationen zwischen Daten beachten Daten in angebundenen Applikationen Erzeugung synthetischer Daten Über Applikation oder per Script Relationen beachten: Applikationsintern und übergreifend Simulation / Mocks Service Virtualisierung mit synthetischen / anonymisierten / pseudonymisierten Daten Aufnehmen in Produktion, abspielen in Testumgebung Trennung komplexer Umgebungen
Applikations-übergreifende versus spezifische Testdaten-Management- Lösung Fachliche Logik aus Datenbank-Struktur ableitbar Applikations-übergreifendes TDM-Werkzeug ermittelt fachliche Logik durch Analyse der Datenbank-Struktur und Inhalte Teilweise automatische Erkennung personenbezogener Daten Bei Bedarf manuelle Verfeinerung Fachliche Logik überwiegend in Applikation (z.b. SAP) Analyse der Datenbank-Struktur durch allgemeines TDM-Werkzeug nicht ausreichend, Wissen über Logik in Anwendung erforderlich. Applikations-spezifisches TDM-Werkzeug kennt fachliche Logik der in der Applikation implementierten Standard-Prozesse. Kundenspezifika müssen manuell hinzugefügt werden.
Testmanagement unterstützt die Umsetzung der DSGVO
Testwerkzeuge generieren synthetische Testdaten
Artikel 32 Sicherheit der Verarbeitung fordert...... ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Ansätze für DSGVO-relevante Tests Rechtmäßigkeit der Verarbeitung (Artikel 6) Auskunftsrecht der betroffenen Person (Artikel 15) Recht auf Löschung ( Recht auf Vergessenwerden ) (Artikel 17) Recht auf Einschränkung der Verarbeitung (Artikel 18) Recht auf Datenübertragbarkeit (Artikel 20) Verzeichnis von Verarbeitungstätigkeiten (Artikel 30) Meldung an die Aufsichtsbehörde (Artikel 33) Benachrichtigung der betroffenen Person (Artikel 34)...
Umsetzung der DSGVO mit QM/ALM-Werkzeugen
Die DSGVO ist komplex... Ausführlicher regulatorischer Text Viele Verantwortliche in der Organisation Zuordnen der Artikel zu Use Cases schwierig Keine Präzedenzfälle, Interpretation nötig Privacy CIO CISO CIGO/CDO CCO Legal Risk management Security analyst IT... QM/ALM Werkzeuge helfen hier... DSGVO Berater helfen hier
Beispiel: GDPR Content Pack Was? Die gesamte DSGVO in ALM Octane & ALM/QC: 1064 Anforderungen in allen 24 EU Sprachen: Deutsch, Englisch, Französisch, Italienisch, Spanisch... Warum? DSGVO-Projekte professionell und effizient durchführen Wie? Von der Anforderung bis zur Umsetzung in einem Werkzeug Schauen wir rein! Use Cases & Hinweise auf relevante Produkte
Alle DSGVO Anforderungen im ALM Werkzeug Kostenloser Download unter https://marketplace.microfocus.com/appdelivery/content/gdpr-content-pack
Details zu Pseudonymisierung Wo ist die Anforderung? Das ist die DSGVO / GDPR Definition für pseudonymisation Diese Produkte unterstützen die Umsetzung der Pseudonymisierung
Automatischer Audit Trail Wer? Wann? Was?
Benachrichtigungen per E-Mail / My Work Welche Änderungen interessieren Sie?
Tests zur DSGVO (Beispiele)
Status der Umsetzung im Dashboard
Datenschutz-Grundverordnung & Testmanagement Das passt zusammen! Ralf Mack ralf.mack@atos.net Dirk Hedderich dirk.hedderich@microfocus.com