Problem-based privacy analysis (ProPAn) – a computer-aided privacy requirements engineering method

With the advancing digitalization in almost all parts of our daily life, e.g., electronic health records and smart homes, and the outsourcing of data processing, e.g., data storage in the cloud and data analysis services, computer-based systems process more and more data these days. Often the processed data originate from natural persons (called data subjects) and are hence personal data possibly containing sensitive information about the individuals. Privacy in the context of personal data processing means that personal data are protected, e.g., against unwanted access and modification, that data subjects are aware about the processing practices of the controller that processes their data, and that data subjects keep control over the processing of their personal data. Privacy regulations, such as the EU General Data Protection Regulation (GDPR), aim at protecting data subjects by empowering them with rights and by putting obligations on controllers processing personal data. Not only administrative fines defined in regulations are a driver for the consideration of privacy in the development of a software-based system, also several data breaches occurred in the last years have shown that a poor consideration of privacy during the system and software development may ultimately lead to a loss of trust in and reputation of the controller. To avoid the occurrence of data breaches and to be compliant with privacy regulations, privacy should to be considered in system and software development as a software quality from the beginning. This approach is also known as privacy-by-design. There are several challenges for privacy-by-design methods that are still not fully addressed by existing methods. First, diverse notions of privacy exist. Most of these privacy notions are non-technical and have to be refined to more technical privacy requirements that can be related to the system. Second, the system has to be analyzed for its personal data processing behavior. That is, it has to be determined which personal data are collected, stored, and provided to others by the system. Third, the privacy requirements have to be elicited that are actually relevant for the system. Fourth, the privacy risks imposed by or existing in the system have to be identified and evaluated. Fifth, measures that implement the privacy requirements and mitigate the privacy risks of the system have to be selected and integrated into the system. Sixth, privacy regulations mandate to assess the impact of the personal data processing on the data subjects. Such a privacy impact assessment (PIA) may be performed as part of a privacy-by-design method. Seventh, the conduction of a privacy-by-design method should be supported as good as possible, e.g., by a systematic method, supportive material, and computer support. In this thesis, I propose the privacy requirements engineering method Problem-based Privacy Analysis (ProPAn). The ProPAn method aims to address the aforementioned challenges starting with a system's functional requirements as input. As part of ProPAn, I provide a privacy requirements taxonomy that I derived from and mapped to various other privacy notions. This privacy requirements taxonomy addresses the first challenge mentioned above. The ProPAn method is the main contribution of my thesis and addresses the second to seventh challenge mentioned above. To address the fifth challenge in the ProPAn method, I propose an aspect-oriented requirements engineering framework that allows to model cross-cutting functionalities and to modularly integrate them into a system's functional requirements. The seventh challenge is addressed by ProPAn's computer support for the execution of the method and the documentation and validation of the method's artifacts in a machine-readable model.

Mit der fortschreitenden Digitalisierung in beinah allen Bereichen unseres täglichen Lebens, z.B. elektronische Patientenakten und Smart Homes, und dem Outsourcing von Datenverarbeitung, z.B. Datenspeicherung in der Cloud und Datenanalysediensten, verarbeiten computerbasierte Systeme immer mehr Daten. Häufig stammen die verarbeiteten Daten von natürlichen Personen (betroffenen Personen) und sind daher personenbezogene Daten, die möglicherweise sensible Informationen über die einzelnen Personen enthalten. Im Kontext der Verarbeitung personenbezogener Daten heißt Privacy, dass personenbezogene Daten geschützt werden, z.B. gegen ungewollten Zugriff und Änderung, dass betroffene Personen sich über die Verarbeitung der personenbezogenen Daten bewusst sind, und dass die betroffenen Personen die Kontrolle über die Verarbeitung ihrer Daten behalten. Datenschutzregularien, wie die EU Datenschutz-Grundverordnung (DSGVO), verfolgen das Ziel betroffene Personen zu stärken, indem ihnen Rechte gegeben werden, und Verantwortlichen, die personenbezogene Daten verarbeiten, Pflichten auferlegt werden. Nicht nur Geldbußen, die in Regularien definiert sind, sind ein Treiber für die Berücksichtigung von Privacy bei der Entwicklung von softwarebasierten System, auch einige Verletzungen des Schutzes personenbezogener Daten in den letzten Jahren haben gezeigt, dass eine unzureichende Berücksichtigung von Privacy während der System- und Softwareentwicklung letztlich zu einem Verlust von Vertrauen in den Verantwortlichen und dessen Ansehen führen können. Um Verletzungen des Schutzes personenbezogener Daten zu vermeiden und konform zu Datenschutzregularien zu sein, sollte Privacy von Anfang an während der System- und Softwareentwicklung als Softwarequalität berücksichtigt werden. Dieser Ansatz ist auch als Privacy-by-Design bekannt. Es gibt einige Herausforderung für Privacy-by-Design-Methoden, die noch nicht vollständig von existierenden Methoden adressiert werden. Erstens gibt es verschiedenste Privacybegriffe. Die meisten dieser Begriffe sind nicht-technisch und müssen zu technischeren Privacyanforderungen verfeinert werden, die zu dem System in Bezug gesetzt werden können. Zweitens muss das System bezüglicher seiner Verarbeitung von personenbezogenen Daten untersucht werden. Das heißt, dass festgestellt werden muss, welche personenbezogenen Daten vom System gesammelt, gespeichert, und an Andere weitergegeben werden. Drittens müssen die Privacyanforderungen erhoben werden, die tatsächlich für das System relevant sind. Viertens müssen die Risiken bezüglich Privacy, die das System verursacht oder beinhaltet, identifiziert und evaluiert werden. Fünftens, müssen Maßnahmen, die Privacyanforderungen implementieren und Risiken bezüglich Privacy reduzieren, ausgewählt und in das System integriert werden. Sechstens schreiben Datenschutzregularien vor, die Folgen der Verarbeitung personenbezogener Daten auf die betroffenen Personen zu untersuchen. Eine solche Datenschutz-Folgenabschätzung kann als Teil einer Privacy-by-Design-Methode durchgeführt werden. Siebtens sollte die Durchführung einer Privacy-by-Design-Methode so gut wie möglich unterstützt werden, z.B. durch eine systematische Methode, unterstützendes Material, und Computerunterstützung. In meiner Dissertation stelle ich die Anforderungsanalysemethode Problembasierte Privacy Analyse (ProPAn) vor, in der die Berücksichtigung von Privacy integriert ist. Die ProPAn-Methode verfolgt das Ziel, die zuvor genannten Herausforderungen zu adressieren, beginnend mit den funktionalen Anforderungen des Systems als Eingabe. Als Teil der ProPAn-Methode stelle ich eine Privacyanforderungstaxonomie bereit, die ich aus verschiedenen Privacybegriffen abgeleitet habe und zu diesen in Beziehung setze. Die ProPAn-Methode ist der Hauptbeitrag meiner Dissertation und adressiert die zweite bis siebte zuvor genannte Herausforderung. Um die fünfte Herausforderung zu adressieren, präsentiere ich ein aspektorientiertes Anforderungsanalyseframework, das es erlaubt Querschnittsanforderungen zu modellieren und modular in die funktionalen Anforderungen eines Systems zu integrieren. Die siebte Herausforderung wird von ProPAns Computerunterstützung für die Anwendung der Methode, und der Dokumentation und Validierung der Methodenartefakte in einem maschinenlesbaren Modells adressiert.

Vorschau

Zitieren

Zitierform:
Zitierform konnte nicht geladen werden.

Rechte

Nutzung und Vervielfältigung:
Dieses Werk kann unter einer
CC BY 4.0 LogoCreative Commons Namensnennung 4.0 Lizenz (CC BY 4.0)
genutzt werden.