6 mrt
Joël de Bruijn

Conferentieblog #11: Privacy by Design met de MORA

Omdat we een crossover hebben tussen het Programma Cyberveiligheid en de MORA op het gebied van persoonsgegevens en data-objecten, bezocht ik in de laatste ronde van de MBO Digitaal conferentie de sessie van Shivaye Jagesar en Max Passet.

Privacy by Design verwacht passende technische en organisatorische maatregelen zodat alleen noodzakelijke persoonsgegevens worden verwerkt en niet zonder tussenkomst van de betrokkene voor een onbeperkt aantal personen toegankelijk zijn. Echter: Wanneer niet duidelijk is welke gegevens minimaal noodzakelijk zijn voor het uitvoeren van het onderwijsproces, is het ook niet duidelijk of de verwerking ‘proportioneel’ is.

Daarom zijn we (het programma en de MORA werkgroep) bezig om hiervoor in de MORA een instrument te ontwikkelen. Praktisch betekent het dat we de MORA uitbreiden met data-objecten. Initieel eerst voor persoonsgegevens maar de aanpak is generiek. Een data-object is een groep gegevens die bij elkaar horen, het beschrijft welke gegevens er zij, niet hoe ze technisch zijn opgeslagen.

De analyse aan de hand van de MORA in combinatie met een casus (bijv inschrijven van een student met extra hulpvragen) gaat alsvolgt:

  • Het proces levert de doelbinding: ga door de procesketens heen en selecteer voor je casus de relevante procesblokken.
  • Het doel bepaalt de benodigde informatie: bekijk het verband tussen je geselecteerde processen en de informatieobjecten, zoals in dit voorbeeld.
  • De informatie bevat gegevens: Dit zijn de data-objecten. In de volgende MORA release komen deze dus voor het eerst voor.
  • Die worden opgeslagen in een applicatie (referentiecomponenten in de MORA) en die ondersteunt weer het proces.

We nemen overigens in de MORA niet attributen en waardelijsten over. Deze stap wordt gemaakt in gegevensmodellen zoals RIO en OOAPI. Wel zorgen we in Npuls projecten zoals OKx dat er een directe link is tussen de OOAPI gegevens die een koppeling transporteert, tussen welke applicaties dit plaatsvindt en de MORA. Hiervoor komen koppelvlakspecificaties.

De data-objecten komen straks terug in ‘views’:

  • Gelinkt aan de flow-relaties die een gegevensuitwisseling voorstellen.
  • Visuals ‘van proces naar informatie naar data-objecten’ voor procesgebieden.
  • Totaal data-model met gebiedsindelingen.

De conclusies voor nu:

  • Privacy wordt een ontwerpkeus! We maken expliciet wat functioneel nodig is.
  • Structuur ondersteunt professioneel handelen! Het vermindert afhankelijkheid van individuele willekeur.
  • De menselijke factor blijft bepalend! Het vervangt niet zorgvuldigheid en regelmatige herijking.
  • Context is belangrijk!

De logische vervolgstap na data-objecten is de ontwikkeling van referentierollen dus to be continued ..

Categoriën & Tags

Conferenties
, ,