• hyvä https://www.nuortenideat.fi/fi/ideat/2603/

  • Tästä ei käy ilmi mitä kohdalla "tiedot ovat luottamuksellisia" tarkoitetaan. Apin kautta hyödynnettävä tieto saattaa usein olla avointa tietoa, eikä sinänsä luottamuksellista. Tarkoitetaanko tässä rajapinnan käyttäjän tietoja?

  • Tavoitteena tämä on oikea. Tämän kirjaamiseksi selkeiksi vaatimuksiksi tulee tehdä huolella. Määrityksissä tulee eriyttää aivan eri osa-alueiksi julkinen data ja tietosuojan alainen data, koska tietosuojan alaiseen dataan tarvitaan aivan erilaiset määrityksensä, ja niitä samoja määrityksiä ei saa soveltaa julkiseen dataan.

  • Parempi muoto olisi "henkilötietoja käsitellään yksityisyyden suojaa kunnioittaen ja tietosuojaperiaatteiden mukaisesti." Näin viitattaisiin GDPR:n käsittelyperiaatteisiin.

  • Tämä on tärkeä kohta. Jotenkin pitäisi varmistaa, ettei rajapintoihin jää tai synny mitään, mikä vaarantaisi tietoturvaa. Hakkerille huonosti toteutettu rajapinta voi toimia kutsuna katettuun pöytään ;)

  • GDPR tätä vaatii.

  • Lisänäkökulma tietoturvaan on myös se, että varmistetaan ettei API-ohjelmointirajapinnat mahdollista oikeudetonta pääsyä viranomaisen niihin tietokantoihin tai -aineistoihin, joita ei ole tarkoitus avata yleisesti saataville API-rajapintojen kautta. Useinhan tietojärjestelmiä ja niiden rajapintoja rakennettaessa tietoturva-aukot ja haavoittuvuudet tulevat yllätyksenä.

  • Tärkeä tavoite, mutta vaatii vielä konkretisointia (mitä käytännössä tarkoittaa ja kuinka edistetään). Viittaus/yhtymäpinta GDPR:ään hyvä mainita. API:en kautta voi ymmärtääkseni kulkea hyvin erityyppistä dataa, jolloin olisi ehkä hyvä eritellä/määritellä tietoturvaan ja tietosuojaan liittyvät ohjeistukset keskeisimmille "datatyypille" erikseen.

  • Rajapintojen kautta siirtyy sekä avointa dataa että henkilötietoja sisältävää dataa. Suojaus sen mukaisesti.

  • Millä tavoin tämä tai muut tavoitteet/linjaukset poikkeavat normaalista viranomaisen toiminnasta? Pitäisikö kirkastaa nimenomaan tiedon siirtoon liittyviä erityispiirteitä? Esimerkiksi tietosuojaan liittyvää lainsäädäntöä on runsaasti olemassa, eivätkä nämä linjaukset tuo mitään uutta.

    • «
    • 1
    • 2
    • »