Mer automatisering og bruk av skyløsning hos Telia etter GDPR

Denne sommeren trådte den nye personvernlovgivningen GDPR i kraft i norsk lov. Du har sikkert fått med deg hva dette er, men kort fortalt står GDPR for General Data Protection Regulation, og er EUs forordning for personvern. Dette er et oppdatert sett med lover knyttet til strengere krav til individets personvern, noe alle norske bedrifter er pliktig til å følge. For mange kan møtet med GDPR være forvirrende, det er mye å sette seg inn i og det kan være vanskelig å vite hvor man skal starte. Systek var i gjennomføringen av GDPR-prosjektet hos Telia Norge.

Store mengder data skal håndteres

Telia er Nordens største leverandør av mobiltjenester. I Norge har Telia til sammen 1200 ansatte og 2,3 millioner kunder, noe som betyr ekstremt mye persondata og informasjon å håndtere. Disse dataene er direkte knyttet opp til identifisering av en person og skal ikke komme på avveie. 

Konsulenter hos Telia

“Som en digital tilrettelegger for storsamfunnet er Telia opptatt av at data behandles på en trygg og sikker måte. Telia jobber kontinuerlig med å sikre personvern, nettverk og ny teknologi fra uvedkommende. Samtidig sørger Telia for å følge all gjeldende lovgivning om personvern.” Sier Bjørn Fredrik Christensen, leder for prosjektet hos Telia. Han har jobbet tett sammen med vår senior systemutvikler, Christian Aarthun.

Nye systemer og rutiner måtte på plass

For å møte kravene til GDPR måtte Telia Norge utvikle nye systemer og rutiner. Arbeidet bestod til dels å skaffe seg kontroll over hvilke systemer i Telia Norge som inneholder personopplysninger. Deretter ble systemer implementert for å automatisere så mye som mulig av GDPR. Til denne delen av GDPR-prosjektet var Christian Aarthun en del av et team som stod for utviklingen av sentrale komponenter som sørger for å gjøre Telia Norge kompatibel med GDPR.
Bjørn Fredrik er veldig fornøyd med å få Christian på teamet, “I dette prosjektet hadde vi behov for faglig sterke og leveransedyktige utviklere som kunne være selvgående fra starten. Christians profil og erfaring passet godt til et slikt behov, og han har mer enn innfridd forventningene. I tillegg til å være faglig dyktig er han ansvarsfull og har stor kapasitet, og det har vært ekstra verdifullt i dette prosjektet.”

I prosjektet Christian var involvert i var det fokus på disse områdene:

  • hvordan kunder av Telia Norge skal få tilgang til egne data
  • hva kundens data skal brukes til
  • endre samtykke til hvordan Telia Norge kan bruke kundens data
  • sende forespørsel om å bli slettet

Selve utviklingsarbeidet i GDPR-prosjektet i Telia Norge startet sommeren 2017, med mål om å være ferdig til loven trådte i kraft sommeren 2018. Da utviklingen startet hadde man allerede en preliminær idé over hvilke systemer i Telia Norge som kom til å bli berørt, men akkurat dette har endret seg flere ganger etter som man analyserte systemene og deres informasjonsarkitektur.

Har som mål å automatisere så mye som mulig

Et av målene i prosjektet var å automatisere hele flyten fra en kunde tar kontakt første gang, til forespørselen er ferdig behandlet. Behandlingstiden skal maksimalt være 30 dager. For å spare både tid og kostnader vil automatisering være nødvendig for å prosessere forespørselen innen fristen.

Integrasjonsplattform i AWS

Det er derfor brukt mye tid på å definere APIer (herunder dokumentasjon), som alle underliggende systemer må implementere for å muliggjøre automatisk prosessering av GDPR-forespørsler. De underliggende systemene er bygget på ulik teknologi, utviklerne har ulike arbeidsmåter og delprosjektene har andre tidsrammer. Derfor var det viktig å bli enige om kontraktene de måtte forholde seg til på et tidlig tidspunkt.

Ulike IT-systemer krever en felles forståelse

Telia Norge er en del av konsernet Telia Company. Den norske delen av konsernet er igjen et resultat av flere fusjoner (NetCom, Chess, Tele2, MyCall, OneCall og Phonero). De ulike merkevarene har i stor grad fortsatt separate IT-systemer etter fusjonene - noe som kompliserer arbeidet med GDPR. For det første er det vanskelig å skaffe seg kontroll på domenene når samme type data lagres i ulike systemer. Det å ha kontroll på hva slags kundedata som lagres i hvilke systemer var en forutsetning for å kunne implementere og automatisere de ulike GDPR-rettighetene. De mange systemene som måtte gjøre endringer i forbindelse med GDPR var naturligvis bygget med ulike teknologi-stacker - noe som igjen førte til interessante problemstillinger når den overordnede løsningsarkitekturen for Telia Norge er bygget rundt automatikk og integrasjoner. Alle disse utfordringene lar seg løse, men det krever en felles forståelse på domene-nivå, og til dels større endringer i systemer for å tilpasse seg de påkrevde kontraktene for integrasjonene.

Bruker skyløsninger i større grad

I tillegg til arbeidet med å bli GDPR-kompatibel har også Telia Norge et initiativ på å bruke skyløsninger i større grad - det var derfor naturlig å bruke Amazon Web Services (AWS) i den nye arkitekturen som ble utviklet. De sentrale systemene som skal prosessere en GDPR-forespørsel fra kunder er bygget som mikrotjenester med spesifikke ansvarsområder, og deployet i AWS ved hjelp av Amazon Elastic Container Service (Amazon ECS). Systemene er implementert i Java ved hjelp av Spring Boot.
Telia Norge ønsker også å automatisere deploy og ha god kontroll på konfigurasjonen til systemene og infrastrukturen i AWS. Til dette formålet ble det valgt å ha kontinuerlig bygging/deploy med verktøyet Concourse og å definere infrastrukturen i AWS med Terraform. Systemene som utvikles i forbindelse med GDPR er også blant de første systemene i Telia Norge som deployes i AWS etter disse nye retningslinjene.

Her kan du lese om Systeks satsning på skyarkitektur og AWS.

Komponenter for GDPR kan bli løsningen på andre utfordringer

Telia Norge har besluttet å lage en felles integrasjonsplattform som skal brukes av alle merkevarene for å standardisere og forenkle integrasjonene mellom de ulike systemene. Integrasjonsplattformen skal ta i mot ulike GDPR-forespørsler fra sluttbruker og deretter fordele henvendelsen til de rette systemene. Telia Norge ønsker at flere av komponentene som nå utvikles for GDPR også skal brukes for å løse andre utfordringer i fremtiden. Spesielt gjelder dette å ha kontroll på hvilke systemer som inneholder hva slags data om sluttbruker, og måter å løse problemstillinger knyttet opp til at en sluttbruker er registrert med flere identifikatorer.

Viktig å dokumentere en videre plan

Utviklingsarbeidet for GDPR er på ingen måte ferdig på det tidspunktet loven ble gjeldende. GDPR er noe som kontinuerlig må jobbes med og inkluderes i eksisterende prosesser for å være up-to-date. I de tilfellene man ikke blir ferdig med alt som må på plass, er det viktig å kunne dokumentere en videre plan. Det vil også kreves en prosess for å kontinuerlig endre på den overordnede løsningen etterhvert som nye systemer inngår, eller fjernes, i Telia Norges portefølje. Eksisterende systemer kan også endre sine ansvarsområder som gjør at de lagrer flere, eller færre personsensitive opplysninger.

Vil du lese mer om personvern hos Telia kan du se deres veiledningsside her,  og ønsker du å lese mer om GDPR kan du sjekke ut Datatilsynets sider.


Ønsker du å være med å utvikle fremtids-Norge? Se våre ledige stillinger

Del på sosiale medier: