Institutional Repository
Technical University of Crete
EN  |  EL

Search

Browse

My Space

Methodology for designing GDPR compliant IoT applications

Karageorgiou-Kanin Christos

Simple record


URIhttp://purl.tuc.gr/dl/dias/1C75BBC4-0FBA-4AAF-969A-E3FBCE0ED0FD-
Identifierhttps://doi.org/10.26233/heallink.tuc.84151-
Languageen-
Extent104 pagesen
TitleMethodology for designing GDPR compliant IoT applicationsen
TitleΜεθοδολογία σχεδιασμού εφαρμογών Διαδικτύου των πραγμάτων για συμμόρφωση στον Γενικό Κανονισμό Προστασίας Δεδομένωνel
CreatorKarageorgiou-Kanin Christosen
CreatorΚαραγεωργιου-Κανην Χρηστοςel
Contributor [Committee Member]Samoladas Vasilisen
Contributor [Committee Member]Σαμολαδας Βασιληςel
Contributor [Committee Member]Deligiannakis Antoniosen
Contributor [Committee Member]Δεληγιαννακης Αντωνιοςel
Contributor [Thesis Supervisor]Petrakis Evripidisen
Contributor [Thesis Supervisor]Πετρακης Ευριπιδηςel
PublisherΠολυτεχνείο Κρήτηςel
PublisherTechnical University of Creteen
Academic UnitTechnical University of Crete::School of Electrical and Computer Engineeringen
Academic UnitΠολυτεχνείο Κρήτης::Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστώνel
Content SummaryAs of May 2018, the enforcement of the EU’s General Data Protection Regulation (GDPR) has introduced new standards for organizations processing personal data of EU residents. With the purpose of giving people more control over their data, as well as protecting them from potential data breaches, proving compliance with GDPR requirements, to regulators who mandate it, has become an ever-increasing priority for most organizations, with steep fines to be paid for privacy violations. Due to the difficulty of analyzing a running system for evaluating its compliance, GDPR requirements must be taken into consideration during the system’s design phase. In this work, we provide the methodology for analyzing these requirements and incorporating them into the design process of a Remote Patient Monitoring application. Since there is no universal methodology that covers all application domains and systems, we focus on a single such application domain: an IoT Service Oriented Architecture design for the cloud. By analyzing the dependencies between all system components (such as personal data, users, cloud services, etc.), we are able to create data-filled reports (related to the GDPR’s personal data demands) that can be used for evaluating compliance. In order to show proof of concept, we apply the aforementioned analysis and represent our system’s information of component properties, requirements and dependencies by means of a labeled-property graph in a graph database. The decision of whether the system is GDPR compliant can be reached once a series of questions (expressed as queries run upon the system graph) have been answered and analyzed. The rationale behind our approach deems it much easier to evaluate GDPR compliance once the designed system’s graph has been constructed. In summary, we demonstrate how such a graph can be created by taking as input both: (a) design requirements and (b) GDPR requirements. We also demonstrate how the evaluation of GDPR compliance lies within analyzing the results of queries run upon the graph in a graph database.en
Content SummaryΑπό τον Μάιο του 2018, η εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) της ΕΕ έχει εισάγει νέα πρότυπα για τους οργανισμούς που επεξεργάζονται προσωπικά δεδομένα που ανήκουν σε πολίτες της ΕΕ. Με τον σκοπό του να ενδυναμώσει τους ανθρώπους -όσων αφορά τον έλεγχο επί των προσωπικών τους δεδομένων- και να τους προστατέψει από ενδεχόμενες παραβιάσεις δεδομένων, η απόδειξη της συμμόρφωσης στις απαιτήσεις του GDPR, σε ρυθμιστές που την επιβάλλουν, αποτελεί μια ολοένα και αυξανόμενη προτεραιότητα για τους περισσότερος οργανισμούς έναντι υψηλών προστίμων για παραβιάσεις απορρήτου. Λόγω της δυσκολίας του να αναλυθεί ένα τρέχον σύστημα για την εκτίμηση της συμμόρφωσής του στον κανονισμό, οι απαιτήσεις του GDPR πρέπει να ληφθούν υπόψη κατά την φάση του σχεδιασμού του συστήματος. Σε αυτή την εργασία, περιγράφουμε μια μεθοδολογία για την ανάλυση αυτών των απαιτήσεων και την ενσωμάτωσή τους στην διαδικασία σχεδιασμού μιας εφαρμογής Τηλε-επίβλεψης Ασθενών (Remote Patient Monitoring). Μιας και δεν υπάρχει κάποια γενική μεθοδολογία που να καλύπτει όλα τα συστήματα και τους τομείς εφαρμογών, επικεντρωνόμαστε σε έναν από αυτούς: μια Υπηρεσιοκεντρική Αρχιτεκτονική (SOA) του Διαδικτύου των Πραγμάτων (IoT) στο Νέφος (Cloud). Έπειτα από την ανάλυση των εξαρτήσεων ανάμεσα σε όλα τα μέρη του συστήματος (όπως προσωπικά δεδομένα, χρήστες, υπηρεσίες νέφους, κλπ.), είμαστε σε θέση να δημιουργούμε αναφορές δεδομένων (που σχετίζονται με τις απαιτήσεις προσωπικών δεδομένων του GDPR) οι οποίες μπορούν να χρησιμοποιηθούν για την εκτίμηση της συμμόρφωσης στον κανονισμό. Για την απόδειξη της ιδέας, εφαρμόζουμε την προαναφερθείσα ανάλυση και αναπαριστούμε την πληροφορία του συστήματός μας, τα περιεχόμενα των μερών του, τις απαιτήσεις του και τις αλληλοεξαρτήσεις που περιέχονται σε αυτό, με τη βοήθεια ενός labeled-property γράφου σε μια βάση δεδομένων γράφων (graph database). Η απόφαση για το αν το σύστημα συμμορφώνεται στο GDPR μπορεί να ληφθεί ύστερα από την απάντηση και ανάλυση μιας σειράς από ερωτήσεις (επεκφρασμένες σαν ερωτήματα-queries πάνω στον γράφο του συστήματος). Η λογική πίσω από την προσέγγισή μας καθιστά την εκτίμηση συμμόρφωσης στον κανονισμό ευκολότερη μόλις ο γράφος του σχεδιασμένου συστήματός μας έχει κατασκευαστεί. Συνοψίζοντας, δείχνουμε πως ένας τέτοιος γράφος μπορεί να κατασκευαστεί, λαμβάνοντας σαν είσοδο: (α) απαιτήσεις σχεδιασμού και (β) απαιτήσεις GDPR. Ακόμη, δείχνουμε πως η εκτίμηση της συμμόρφωσης στον κανονισμό έγκειται στην ανάλυση των αποτελεσμάτων των ερωτημάτων πάνω στον γράφο σε μια βάση δεδομένων γράφων.el
Type of ItemΔιπλωματική Εργασίαel
Type of ItemDiploma Worken
Licensehttp://creativecommons.org/licenses/by/4.0/en
Date of Item2019-12-23-
Date of Publication2019-
SubjectGDPRen
SubjectIoTen
SubjectGraph Databasesen
Bibliographic CitationChristos Karageorgiou Kaneen, "Methodology for designing GDPR compliant IoT applications", Diploma Work, School of Electrical and Computer Engineering, Technical University of Crete, Chania, Greece, 2019en
Bibliographic CitationΧρήστος Καραγεωργίου Κανήν, "Μεθοδολογία σχεδιασμού εφαρμογών Διαδικτύου των Πραγμάτων για συμμόρφωση στον Γενικό Κανονισμό Προστασίας Δεδομένων", Διπλωματική Εργασία, Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών, Πολυτεχνείο Κρήτης, Χανιά, Ελλάς, 2019el

Available Files

Services

Statistics