Digiarjessa-blogi

EU:n tietosuoja-asetus (GDPR) ja SQL Server -pohjaiset raportointiratkaisut

Miten voimme SQL Server-pohjaisessa tietovarasto- ja raportointiratkaisussa ottaa huomioon tietosuoja-asetuksen vaatimukset henkilötiedon suojaamisesta? Lue Hannu Muurisen käytännön vinkit.

gdpr-sql-raportointi

Kukaan ei varmaan ole välttynyt kuulemasta EU:n 25.5.2018 voimaan tulevasta tietosuoja-asetuksesta (GDPR). Tässä ei ole tarkoitus kuvata EU:n tietosuoja-asetusta tarkemmalla tasolla – tietolähteitä siihen on runsaasti tarjolla – vaan tarjota käytännön vinkkejä siihen, miten voimme SQL Server-pohjaisessa tietovarasto- ja raportointiratkaisussa ottaa huomioon tietosuoja-asetuksen vaatimukset henkilötiedon suojaamisesta.

Tässä keskitytään ns. on-premises SQL Server –palvelinohjelmistoalustaan, mutta vastaavat toiminnallisuudet ovat käytettävissä myös käytettäessä vaikkapa pilvipohjaista Microsoft Azure SQL tietokanta-alustaa.

1. Tunnista henkilötiedot tietovarastossasi

Määrittele ja tunnista henkilötieto organisaatiossasi ja tietovarastossasi. Tietosuoja-asetuksen valossa kaikki henkilöön yhdessä tai erikseen yhdistettävissä olevat tiedot ovat henkilötietoja. Osa henkilötiedoista luokitellaan arkaluonteisina erityistietoryhmään kuuluviksi, kuten esimerkiksi terveystiedot tai biometriset tunnisteet.
Tallenna raportointijärjestelmässä olevan tietosisällön kuvaus (metadata) henkilötietoluokitteluineen mielellään johonkin tietokantapohjaiseen järjestelmään, jossa tiedot olisivat järkevästi ylläpidettävissä, kuten esimerkiksi Microsoftin Azuressa toimivaan Data Catalog-palveluun.

2. Salaa tai piilota henkilötiedot

Salaa SQL Server tietokannassa erityisesti arkaluonteiset tai erityistietoryhmään kuuluvat henkilötiedot Always Encrypted -toiminnallisuudella. Kryptaa aina tietokantojen varmuuskopiot. Huomioi, että salaus yleensä jonkin verran heikentää suorituskykyä, mahdollisesti aiheuttaa muutoksia käyttösovelluksiin ja sertifikaattien jakeluun liittyy hallinnointia.
Kevyempi ja salausta täydentävä toiminnallisuus on dynaaminen datan piilottaminen tai maskaus (dynamic data masking), jolla voi peittää sarakkeen tietosisällön kokonaan tai osittain loppukäyttäjän käyttöoikeuksien perusteella.

3. Rajaa henkilötietojen lukuoikeudet mahdollisimman pienelle käyttäjäryhmälle

Käytä mahdollisuuksien mukaan henkilökohtaisia käyttäjätunnuksia tietokantayhteyksissä (SQL Serverissä Windows-autentikointi). Rajaa henkilötietoja sisältävien tietojen käyttöoikeuksia siten, että vain käyttäjän oman käyttäjäroolin kannalta relevantit tiedot ovat luettavissa.

Tietovarastossa on hyvä päästä tapahtumarivitasolle saakka, mutta harkitse, että onko henkilötiedot kuitenkaan sellaisia, joita välttämättä tarvitaan raportoinnin käyttötilanteissa. Tietovarastopohjaisessa raportoinnissa usein ikäluokka, paikkakunta ja sukupuoli riittävät tarkkuustasoltaan.
Voit erotella sellaiset faktataulut, tietomallit tai raportit muista, joissa käsitellään henkilötietoja ja julkaista mahdollisesti laajemmalla jakelulla sellaiset tiedot, jossa henkilötiedot ovat anonymisoituina.

Jos käytät datamartin päällä kuutiota tai muistinvaraista tietomallia, niin voit tehdä niistä samaan faktatauluun pohjautuen eri versiot henkilötiedot anonymisoituina ja henkilötietoja sisältävänä.
Koska raportoinnin testaus liittyy hyvin kiinteästi käytettävissä olevan dataan ja sen oikeellisuuteen, niin usein raportointijärjestelmiä on testattu usein tuotantodatalla. Jatkossa kaikki testaus- ja kehitysympäristön henkilötiedot tulee olla anonymisoituja.

4. Auditoi henkilötietojen lukutapahtumat

Henkilökohtaiset käyttöoikeudet mahdollistavat käyttäjäkohtaisen auditoinnin henkilötietojen lukutapahtumista. SQL Server Database Audit –toiminnallisuudella voidaan toteuttaa lokitus määriteltyjen taulujen lukutapahtumiin. Database Audit –toiminnallisuuden lisäksi valmistele myös Audit Trailin raportointi, kun sitä tarvitaan ja raportointi saattaa edellyttää sitä, että henkilötietoja sisältävät tiedot on ajan suhteessa versioitu.

Analysis Services-tietomallissa voi hyödyntää palvelun oman auditoinnin lisäksi tietokannan auditointia, kun tietomalli toteutetaan DirectQuery-tyyppisenä.

5. Suunnittele myös henkilötiedon poistaminen

Yksi tietosuoja-asetuksen periaatteista on henkilötietojen poistaminen, kun niiden käyttötarkoitus on loppunut. Selvitä toimintatavat, joilla henkilötiedot poistetaan tai muunnetaan tunnistamattomiksi tietovarastossa tai raportoinnissa. Muutos voi tulla lähdejärjestelmästä mutta voi vaatia lisätoimenpiteitä tietovaraston ja raportoinnin puolella.

6. Harkitse tietokanta-alustan päivittämistä

Edellä mainittujen työkalujen käyttö edellyttää joissakin tapauksissa SQL Server version päivitystä, sillä monet mainituista toiminnallisuuksista eivät ole käytössä kaikissa SQL Server versioissa tai lisenssivaihtoehdoissa. Päivitystä viimeisimpään versioon tukee myös se, että lisenssiehdot ovat (SQL Server 2016 SP1-versiosta lähtien) päivittyneet siten, että – toisin kuin aiemmin – yllä esitellyt relaatiotietokannan toiminnallisuudet sisältyvät Standard-lisenssivaihtoehtoon.

Tietosuoja-asetus on varmasti suuri haaste monelle organisaatiolle sanktioineen, mutta positiivinen puoli siinä on se, että samalla se tarjoaa hyvän syyn varmistaa ja korjata henkilötietojen käsittelyn mahdolliset puutteet ja päivittää ratkaisu ja käytännöt sellaisiksi kuin ne ehkä olisi alun perinkin pitäneet olla.


analytiikka   tietoturva


Tilaa blogikirjoitukset sähköpostiisi