Το έργο με τίτλο Μεθοδολογία σχεδιασμού εφαρμογών Διαδικτύου των πραγμάτων για συμμόρφωση στον Γενικό Κανονισμό Προστασίας Δεδομένων από τον/τους δημιουργό/ούς Karageorgiou-Kanin Christos διατίθεται με την άδεια Creative Commons Αναφορά Δημιουργού 4.0 Διεθνές
Βιβλιογραφική Αναφορά
Χρήστος Καραγεωργίου Κανήν, "Μεθοδολογία σχεδιασμού εφαρμογών Διαδικτύου των Πραγμάτων για συμμόρφωση στον Γενικό Κανονισμό Προστασίας Δεδομένων", Διπλωματική Εργασία, Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών, Πολυτεχνείο Κρήτης, Χανιά, Ελλάς, 2019
https://doi.org/10.26233/heallink.tuc.84151
Από τον Μάιο του 2018, η εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) της ΕΕ έχει εισάγει νέα πρότυπα για τους οργανισμούς που επεξεργάζονται προσωπικά δεδομένα που ανήκουν σε πολίτες της ΕΕ. Με τον σκοπό του να ενδυναμώσει τους ανθρώπους -όσων αφορά τον έλεγχο επί των προσωπικών τους δεδομένων- και να τους προστατέψει από ενδεχόμενες παραβιάσεις δεδομένων, η απόδειξη της συμμόρφωσης στις απαιτήσεις του GDPR, σε ρυθμιστές που την επιβάλλουν, αποτελεί μια ολοένα και αυξανόμενη προτεραιότητα για τους περισσότερος οργανισμούς έναντι υψηλών προστίμων για παραβιάσεις απορρήτου. Λόγω της δυσκολίας του να αναλυθεί ένα τρέχον σύστημα για την εκτίμηση της συμμόρφωσής του στον κανονισμό, οι απαιτήσεις του GDPR πρέπει να ληφθούν υπόψη κατά την φάση του σχεδιασμού του συστήματος. Σε αυτή την εργασία, περιγράφουμε μια μεθοδολογία για την ανάλυση αυτών των απαιτήσεων και την ενσωμάτωσή τους στην διαδικασία σχεδιασμού μιας εφαρμογής Τηλε-επίβλεψης Ασθενών (Remote Patient Monitoring). Μιας και δεν υπάρχει κάποια γενική μεθοδολογία που να καλύπτει όλα τα συστήματα και τους τομείς εφαρμογών, επικεντρωνόμαστε σε έναν από αυτούς: μια Υπηρεσιοκεντρική Αρχιτεκτονική (SOA) του Διαδικτύου των Πραγμάτων (IoT) στο Νέφος (Cloud). Έπειτα από την ανάλυση των εξαρτήσεων ανάμεσα σε όλα τα μέρη του συστήματος (όπως προσωπικά δεδομένα, χρήστες, υπηρεσίες νέφους, κλπ.), είμαστε σε θέση να δημιουργούμε αναφορές δεδομένων (που σχετίζονται με τις απαιτήσεις προσωπικών δεδομένων του GDPR) οι οποίες μπορούν να χρησιμοποιηθούν για την εκτίμηση της συμμόρφωσης στον κανονισμό. Για την απόδειξη της ιδέας, εφαρμόζουμε την προαναφερθείσα ανάλυση και αναπαριστούμε την πληροφορία του συστήματός μας, τα περιεχόμενα των μερών του, τις απαιτήσεις του και τις αλληλοεξαρτήσεις που περιέχονται σε αυτό, με τη βοήθεια ενός labeled-property γράφου σε μια βάση δεδομένων γράφων (graph database). Η απόφαση για το αν το σύστημα συμμορφώνεται στο GDPR μπορεί να ληφθεί ύστερα από την απάντηση και ανάλυση μιας σειράς από ερωτήσεις (επεκφρασμένες σαν ερωτήματα-queries πάνω στον γράφο του συστήματος). Η λογική πίσω από την προσέγγισή μας καθιστά την εκτίμηση συμμόρφωσης στον κανονισμό ευκολότερη μόλις ο γράφος του σχεδιασμένου συστήματός μας έχει κατασκευαστεί. Συνοψίζοντας, δείχνουμε πως ένας τέτοιος γράφος μπορεί να κατασκευαστεί, λαμβάνοντας σαν είσοδο: (α) απαιτήσεις σχεδιασμού και (β) απαιτήσεις GDPR. Ακόμη, δείχνουμε πως η εκτίμηση της συμμόρφωσης στον κανονισμό έγκειται στην ανάλυση των αποτελεσμάτων των ερωτημάτων πάνω στον γράφο σε μια βάση δεδομένων γράφων.