Säkraste sättet att hantera persondata remote är att låta bli
GDPR
I vårt arbete hanterar vi våra kunders system som ofta innehåller personuppgifter på deras användare. För säker hantering av persondata finns flera regler. En av dem är hantering av gränsöverskridande dataöverföring enligt kapitel fem i GDPR-lagen.
Eftersom många av våra team har utvecklare som sitter på distans utanför EU är detta viktigt för oss. Det enklaste sättet att hantera detta är helt enkelt att inte skicka någon gränsöverskridande persondata till de utvecklare som sitter på distans.
Därför gör vi detta genom en tydlig uppdelning inom teamet så att de som sitter på distans inte har tillgång till produktionsmiljöer. Därmed kan de inte ta del av personuppgifter som finns lagrade där.
Hur vi jobbar med system som innehåller persondata
Om vi i utvecklingsarbetet jobbar med ett system som är i drift och har personuppgifter lagrade i databasen, så ser vi till att motsvarande databas som används i utvecklingsarbetet är rensat från persondata.
För att lösa detta gör vi på följande sätt:
- Först tar vi fram en lista över alla textfält från alla tabeller i databasen.
- Efter det inkluderar vi alla fält som identifierar eller relaterar till en person eller innehåller personuppgifter, känsliga- eller konfidentiella uppgifter (enligt GDPR).
- Dessa fält delas upp i:
a) Fält som inte har några krav på format.
b) Fält som har specifika krav på formatet. Exempel är personnummer, bankkontonummer eller andra strängar som måste bibehålla formatet för att systemen ska fungera. - Sedan skapar vi ett skript som skannar alla poster i databaskopian och ersätter fältvärden från lista 3a med en slumpmässig sträng som matchar originalets storlek. Skript bibehåller teckenlängden och formatet så att den slumpmässiga texten liknar den ursprungliga. Vi använder också en namngenerator för förnamn och efternamn. Ett slumpmässigt värde genereras oberoende av det ursprungliga värdet. Därmed är det omöjligt att utifrån det slumpmässigt skapade värdet komma fram till det ursprungliga värdet. Om vi till exempel har två poster med namnet John så kommer posterna efter modifieringen ha olika namn. När vi tittar på resultat i de två fälten så går det inte att räkna ut de ursprungliga namnen.
- På samma sätt gör vi för alla fält med specifika format, där det nya datat följer samma format som ursprungsdatat.
Datakommunikation
För att undvika att datakommunikationen innehåller användarnamn eller annan personlig data från systemet så ersätter vi dessa med olika ID och akronymer.
Loggfiler
En annan sak som kan vara känslig är loggfiler. Även de utvecklarna som sitter på distans, kan vid tillfällen behöva tillgång till loggfiler. Därför måste vi rensa även dem från personuppgifter och annan känslig information. Lösningen blir helt enkelt att se till att det inte skrivs persondata i loggarna. Därför, under förutsättning att det följs, kommer loggfiler inte att innehålla personuppgifter eller annan känslig information.