Den nya lagen, General Data Protection Regulation (GDPR), som reglerar personuppgiftshantering träder i kraft den 25 maj 2018. Lagen är den största enskilda förändringen inom dataskydd som gjorts på 20 år inom EU, vilket så klart gör det klurigt att förstå sig på alla förändringar som måste sättas i rullning.
Datainspektionen önskar att vi inom IT-branschen själva tar fram branschstandarder för hur man ska hantera GDPR. Därför presenterar jag nedan ett förslag baserat på de lagar och förordningar som GDPR vilar på, för hur vi som bransch bör hantera krav framöver.
Likställ personuppgiftstunga system med säkerhetskritiska system
Säkerhetskritiska system används idag bland annat inom flyg-, automotive-, medical- och kärnkraftsindustrin, vilket jag anser bör användas även inom vår bransch. En förändring som jag anser också ligger i allas vårat intresse är att inkludera två nya säkerhetskritiska system, nämligen personuppgiftstunga system och ekonomiska system. I och med denna förändring skulle vi få en ökad förståelse för vikten av tydlig kravställning samt ett tydliggörande av behovet av genomtänkt testning i hela projektets livscykel.
Det finns en hel del utmaningar i och med förändringen jag föreslår. Bland annat tror jag att det kommer bli betydligt svårare att hitta kvalificerad personal och att vi därmed också kommer se en ökad efterfrågan efter personal som är utbildade inom säkerhetskritisk kravställning. Detta bland annat med tanke på GDPR:s strängare direktiv inom informationssäkerhet vad det gäller autonoma bilar.
Det finns i dag många olika industristandarder som styr utvecklingen för säkerhetskritiska system t.ex. DO-178a/b/c, ISO26262, ASPICE, ISO14971. Jag är inte av åsikten att vi behöver ta fram ännu en ny standard för personuppgiftstunga system, men däremot är det viktigt att dra nytta och lära oss av de standarder som redan finns.
Ett första steg mot ett mer säkerhetskritiskt tänk är att sluta använda gamla Word/Excel system för krav. Det är dags att börja arbeta med kravhanteringssystem som faktiskt klarar av att hantera komplexa projekt. Några sådana exempel är DOORS NG, Polarion eller JAMA.
Framgångsfaktorer för att lyckas med säkerhetskritiska projekt är:
Time to Market. Det finns många hungriga aktörer på marknaden. Det gäller att kunna leverera snabbt och ha rätt utbildad personal.
Datadelning. Information måste kunna utbytas på ett strukturerat och förutbestämt sätt när många leverantörer agerar i samma projekt. Det krävs en tydlig länkning mellan krav och kod.
Mjukvarukvalitet. I säkerhetskritiska system kan fel leda till stor skada på person och egendom. Mjukvarufel som upptäcks efter produktionssättning är därför mycket kostsamma.
Det finns oändligt mycket att gräva ner sig i gällande säkerhetskritisk kravställning, vilket gör det svårt att veta hur man som företag ligger till på den säkerhetskritiska fronten. Är du osäker på om era system håller för det förändringar och krav GDPR ställer, eller behöver ni hjälp med att hantera kravställning och test? Kontakta mig så fördjupar vi oss i just era frågeställningar.
