Practical Regulatory Compliance in Database Systems
Authors
Nykjær, Alexander Mundbjerg ; Jørgensen, Ane Søgaard ; Kristensen, Jakob Sønderby
Term
4. term
Education
Publication year
2023
Submitted on
2023-06-15
Pages
62
Abstract
The General Data Protection Regulation (GDPR), in force since 2018, sets rules for processing personal data. Many organizations still struggle with understanding and compliance in 2023. This thesis analyzes how GDPR affects database systems and reviews prior work to define five requirements for a system that helps make existing databases GDPR compliant. We propose the Data Protection Compliance Tool (DPCT), which satisfies four of these requirements. DPCT lets users record metadata (descriptions of data and purposes) and vacuuming policies (cleanup and deletion rules) to document that personal data is processed for specific and legitimate purposes, can be associated with a natural person, and is deleted when the purpose no longer applies. We implement a DPCT prototype and evaluate it using a database for a fictional web shop that stores customer data. Finally, we outline extensions that provide additional GDPR support.
Databeskyttelsesforordningen (GDPR) fra 2018 fastsætter regler for behandling af personoplysninger. Mange virksomheder har stadig udfordringer med at forstå og efterleve reglerne i 2023. Dette projekt undersøger, hvordan GDPR påvirker databasesystemer, og gennemgår eksisterende arbejde for at udlede fem krav til et system, der kan hjælpe virksomheder med at gøre deres nuværende databaser GDPR-kompatible. Vi foreslår værktøjet Data Protection Compliance Tool (DPCT), som opfylder fire af disse krav. DPCT lader brugere registrere metadata (beskrivende oplysninger om data og formål) og vacuuming-politikker (oprydnings- og sletteregler) for at dokumentere, at persondata behandles til specifikke og legitime formål, kan knyttes til en fysisk person, og bliver slettet, når der ikke længere er et gyldigt formål. Vi implementerer en prototype af DPCT og evaluerer den på en database for en fiktiv webshop med kundedata. Endelig skitserer vi udvidelser, der kan give yderligere GDPR-understøttelse.
[This apstract has been rewritten with the help of AI based on the project's original abstract]