Tölvumál - 01.10.2000, Page 16
Nafnleyndarkerfi ÍE
Nafnleyndarkerfi ÍE
Yfírlit hugtaka og kerfís
Skeggi Þormar
Þar sem úrvinnsla
eða rannsóknir fara
fram er ekki þörf á
persónuauðkennum
Rannsóknarstaðir noti
eigin auðkenni á
gögnunum, sem séu
hulin öllum ufanað-
komandi aðilum
og séu aftengd
kennitölum með
dulkóðun
S
Isamfélagi nútímans er til gífurlegt
magn af tölvutækum upplýsingum á
margvíslegum stöðum. Varðveisla og
vinnsla gagna verður æ mikilvægari þáttur
í starfsemi nær allra fyrirtækja, stofnana
og félagssamtaka. Hér verður gert ráð fyr-
ir þeirri almennu forsendu, að gögn sem
tengd eru kennitölu(m) einstaklinga þarfn-
ist sérstakrar aðgæslu. Astæður eru marg-
víslegar, svo sem persónuvernd, þjóðfé-
lagslegar venjur, fjárhagslegir og félags-
legir hagsmunir. Eigi að síður eru það
beinar og óbeinar kröfur samfélagsins að
hægt sé að meðhöndla og rannsaka gögn
af þessu tagi. Önnur meginforsenda er sú,
að einungis þarf á kennitölu eða persónu-
auðkenni að halda á þeim stað þar sem
bein samskipti við einstaklinginn fara
fram. Þar sem úrvinnsla eða rannsóknir
fara fram er ekki þörf á persónuauðkenn-
um. Þar er einungis þörf á að geta tilgreint
hvaða gögn tilheyra einum og sama ein-
staklingi, án tillits til þess hver sá einstak-
lingur er. Hér verða þeir staðir þar sem
bein samskipti við einstaklinga eiga sér
stað nefndir samskiptastaðir en þeir staðir
þar sem úrvinnsla eða rannsókn á gögnum
fer fram nefndir rannsóknarstaðir. Dæmi
um samskiptastað er deild á sjúkrahúsi og
dæmi um rannsóknarstað gæti verið fjár-
máladeild (sama) sjúkrahúss. Samkvæmt
framangreindum forsendum er það eðli-
legt að samskiptastaðir noti kennitölur, en
rannsóknarstaðir noti eigin auðkenni á
gögnunum, sem séu hulin öllum utanað-
komandi aðilum og séu aftengd kennitöl-
um með dulkóðun eða í tilvikum svo sem
einnota rannsóknum þá sé algjör aftenging
t.d. með öruggri slembivörpun. Þannig má
ná fram skýrum aðskilnaði milli sam-
skiptastaða og rannsóknarstaða. Þá má
spyrja. Af hverju eru ekki slík kerfi í notk-
un á öllum þannig stöðum? Ein ástæða er
sú að þrátt fyrir að ofangreind lýsing sé
harla einföld þá þurfa slík kerfi jafnframt
að hafa fleiri og flóknari aðgerðir til þess
að virkur aðskilnaður náist og til að hægt
sé að tryggja rekstraröryggi. Hér er lagt til
að eftirfarandi atriði þurfi að vera fyrir
hendi í slíku kerfi:
• Til að koma í veg fyrir að óviðkomandi
persónur komist yfir gögn, geti sent
skemmd gögn eða truflað kerfið á ann-
an hátt þá verður að tryggja gagnaflutn-
ing og gagnavarðveislu með stýringu á
notendaaðgangi, og með dulkóðun.
• Eftirlitskerfi þannig að tilnefndir eftir-
litsaðilar geti sannreynt lögmæti allra
samskipta.
• Skráningu á öllum helstu viðburðum í
kerfmu.
• Notendaumsjónarkerfi þar sem hægt er
að skilgreina hlutverk og aðgang not-
enda. Það verður að vera hægt að til-
greina notendahópa, til að stýra hvaða
notendur mega skiptast á gögnum og
hvernig.
• Rekstraröryggi verður að tryggja
þannig að hægt sé að skipta um stjórn-
endur kerfisins og dulkóðunarlykla án
annarrar truflunar á starfsemi.
• Kerfið verður að vera auðvelt í notkun
fyrir alla almenna notendur þess. Ef
slík kerfi eru óþarflega íþyngjandi er
hætta á að notendur leiti eftir leiðum
framhjá þeim.
Við munum ekki rökstyðja frekar þessi
atriði, en í staðinn gefa yfirlit yfir hugbún-
aðarkerfi sem Islensk erfðagreining hefur
þróað í því skyni að uppfylla framan-
greindar þarfir.
Helstu eiginleikar
• Tvískipt biðlara/miðlara kerfi, með
hlutbundnum CORBA samskiptum.
• Öryggi frá forriti til forrits, án milliliða
(Application level security).
• Netsamskipti samkvæmt SSL 3.0 staðli
(Secure Socket Layer).
• Dulkóðun á persónuauðkennum í gögn-
16
Tölvumál