GDPR, personvern, IT-sikkerhet i fagsystemer med GPS-sporing

Abstract

GDPR og personvernreglementet i Norge stille store krav til alle bedrifter som nytter seg av GPS verktøy i yrkessammenheng, være det bruker eller utvikler. Det er en rekke vurderinger som må bli gjort i henhold til hvorvidt innsamling av slik data kan forsvares som nødvendig for et gitt system. Det eksisterer en rekke maler på hvordan slike vurderinger kan utføres men disse er ofte enten spesifikt rettet mot en sektor som f.eks helsesektoren, eller mer generelle fra nasjonale ressurser. Rapporten tar for seg vurdering av personvernskonsekvenser rundt utviklingen, drifting og bruk av GPS løsningen CarAdmin}. CarAdmin er en helhetlig løsning for kjøretøyoppfølging, og tar for seg funksjonalitet som digital kjørebok, flåtestyring og smittesporing. For å kunne levere disse og lignende tjenester må utviklere slik som ETC AS, og bedrifter som benytter GPS i yrkessammenheng kunne grundig dokumentere etterlevelse av GDPR. Rapportens hensikt er å produsere en personvernskonsekvensvurdering av CarAdmin, slik at personvern er ivaretatt, GDPR etterleves og med IT-sikkerhet i fokus. Basert på lærdom og erfaringer fra personvernskonsekvensvurderingen, skape et rammeverk for bransjen som kan nyttegjøres som mal og veiledning for fremtidige vurderinger av personvernskonsekvenser. Blant løsningen innebærer det og en samling av oppdragsgivers sikkerhetsarkitektur, rutiner og intern dokumentasjon.

GDPR and privacy laws in Norway raises the need for all companies that use GPS tracking in the workplace, whether as a user or developer. There are several assessments and considerations that are required to decide whether data collection is justified as necessary for a certain system. Currently there are plentiful of existing framework explaining how to perform such assessments, but these are often too specific, for instance the Norwegian "E-Helse", or rather too general. The main focus of this report is conducting a Data Protection Impact Assessment (DPIA) surrounding the development, hosting and usage of the GPS system CarAdmin. CarAdmin is full scale solution for vehicle management, which includes functionality such as a digital diving book, fleet management and infection tracking. In order to deliver these and similar services, developers like ETC AS, and companies that employ GPS in the workplace must ensure a thorough documentation of GDPR compliance. The reports purpose is to produce a DPIA of CarAdmin, in a manner that protects the users privacy, ensures GDPR compliance and focuses on IT-security. Based on experience from conducting a DPIA, create a framework for the industry that can be used as a guide for conducting a future DPIA. Included in the solution is a collection of the contractor's security architecture, routines and internal documentation.