GDPR-vaatimusten mukainen auditointijärjestelmä

Abstract

Tämän insinöörityön tavoitteena oli suunnitella ja toteuttaa Student Roster -järjestelmään auditointijärjestelmä, joka tukee yleisen tietosuoja-asetuksen periaatteita ja varmentaa järjestelmän jäljitettävyyden. Työssä analysoitiin tietosuoja-asetuksen artiklat ja määriteltiin niiden pohjalta auditointijärjestelmän tekniset vaatimukset, kuten lokitietojen rakenne, pseudonymisointi, säilytysaika ja käyttöoikeudet. Näiden vaatimusten perusteella toteutettu ratkaisu rakennettiin osaksi Student Rosterin kokonais-arkkitehtuuria. Auditointijärjestelmä kirjaa sovelluksessa syntyvät tapahtumat, mukaan lukien käyttäjien tekemät toiminnot ja järjestelmän omat prosessit, yhtenäisellä ja jäljitettävällä tavalla. Auditointijärjestelmä koostuu kahdesta lokitaulusta, väliohjelmisto-ratkaisuista, kontekstiin perustuvasta tiedonvälityksestä ja CRUD-auditoinnista, joita täydentävät deterministinen pseudonymisointi, roolipohjaiset katseluoikeudet ja ajastettu säilytysajan hallinta. Kokonaisuus tuottaa kattavan käsittelyhistorian ja mahdollistaa sovelluksen tapahtumien todennettavuuden myös jälkikäteen. Työn eri vaiheissa hyödynnettiin tekoälyä, erityisesti ChatGPT:tä työskentelyn tukena. Tekoäly auttoi hahmottamaan eri ratkaisuvaihtoehtoja, tukemaan suunnittelu- ja kehitystyötä sekä viimeistelemään tekstin kielellistä ilmaisua. Vastaan kuitenkin itse työn toteutuksesta ja kaikista sisällöllisistä ratkaisuista.