A központi elektronikus szolgáltató

rendszer adatvédelmi vonatkozásai

Budapest, 2009. január 28.

Közigazgatási helyzetkép

• A legfontosabb megállapítások:• A közigazgatási hatósági eljárások nem

kellően hatékonyak, általában túl lassúak és átláthatatlanok,

• A magyar közigazgatás arányaiban azonos létszámmal, de magasabb költséggel működik, mint az uniós átlag,

• Még nem kielégítő az info-kommunikációs technológiák használata, a megfelelő tartalmak és szolgáltatások kínálata csekély, a szolgáltatások statikusak, kevéssé interaktívak és nem felhasználóbarátak,

• Elmaradottak a kapcsolódó háttérfolyamatok és rendszerek, hiányzik az interoperabilitás, valamint az állampolgárok megfelelő biztonságú elektronikus azonosíthatósága,

• A hátrányos helyzetű térségekben a lakosság nehezen fér hozzá az IKT szolgáltatásaihoz.

A közigazgatás átfogó működési problémái

Központi elektronikus szolgáltató rendszer

A közigazgatási szolgáltatások törvényi háttere

A leggyakrabban keresett szolgáltatások fejlettsége

Háttérintézmények informatika helyzete

Közigazgatási szolgáltató kultúra

e-Szolgáltatások az önkormányzatoknál

E-közigazgatási vetület

• Speciálisan szigorú adatvédelmi követelmények - Európában csak Németországban van hasonlóan általános célú azonosítóra tilalom – de ez nem lehetetlenít semmit

• Törvényi szabályozás jelenleg csak – dokumentumhitelesítést szolgáló - elektronikus aláírásra létezik – pedig az adatkezeléshez törvény kell

• A közigazgatási eljárásokban az elektronikus aláírás használata csak formailag támogatott

• Hiányzik a közigazgatásban az elektronikus ügyintézés kultúrája

• Az elmúlt években jelentős ráfordítással szigetszerű rendszerek jöttek létre – kivétel jellegű a rendszerek együttműködése

• A Központi Elektronikus Szolgáltató Rendszerben létrejött felhasználónév-jelszó páron alapuló azonosítás működik, de nem mindenhez elég biztonságos

• Párhuzamosan futó intelligens kártya kísérletek sorozatos kudarcokkal – nem szükségszerű, hogy kártya legyen az azonosító eszköz

Az átalakulás három fő iránya

Az IT fejlesztéseknek a kormányzati intézményeket középpontba állító hagyományos ügyintézési filozófiával ellentétben, az állampolgárok és a vállalkozások köré kell épülniük.

• jelentősen csökkentheti a papír alapú munkavégzést,• a duplikációk kiszűrésével növeli hatékonyságot,• elégedettebbé teszi a felhasználókat,

Professzionális megvalósítás

Ügyfélorientált

állampolgári és vállalkozási szolgáltatások

Integrált kormányzati

szolgáltatások

Ügyfél

A közigazgatásnak a „shared services” szolgáltatási kultúra felé kell elmozdulnia – a front office, a back office és az információ, valamint infrastrukturális területeken.

A hatékonyság érdekében szükséges a •standardizáció, egyszerűsítés •funkcionális feladatok megosztása és integrációja,

Szükséges a közigazgatási hozzáértés és tudás szélesítése és mélyítése,

• ügyfélorientált kultúra kiépítése, • IKT fejlesztések tervezéséhez és megvalósításához

szükséges ismeretek és képességek terén.

Miért van szükség adatvédelemre az elektronikus közigazgatásban?

• Formális válasz:• Mert törvény előírja.

• Alkotmányossági szempontból:• Az információs önrendelkezési jog érvényesítése érdekében – valóban

azokkal (csak azokkal) osszam meg az adataimat, akivel akarom, illetve akikkel köteles vagyok.

• A rendszer működőképessége (hitele) szempontjából:• A rendszer az igénybevevők bizalmára épít, a lehetséges minimumra kell

csökkenteni az adatokkal való visszaélés lehetőségét.

• Technikai - hatékonysági szempont:• Bár alacsonyabb védelmi szintű rendszerek megvalósítása általában

olcsóbb (ez sem szükségszerű), a kivételek, hibák kezelése lényegesen drágább lehet.

• A szempontok egymást erősítik.

Adatvédelem és adatbiztonság viszonya

• A két fogalom nem helyettesíti egymást, de általában kölcsönösen erősítik egymást – ma már csak rendszerszemléletben szabad megközelíteni

• olyan rendszer-adatvédelmet kell megvalósítania, amely biztosítja egyfelől azt, hogy a technikai-szervezeti rendszer csak olyan adatkezelések elvégzésére legyen alkalmas, amelyek elvégzésére jogilag fel van hatalmazva, másfelől, hogy az adatkezelő csak azokat a személyes adatokat kezelje, amelyeket jogszerűen kezelhet

• az adatkezelési cél a lehető legkevesebb személyes adat kezelésével valósuljon meg

• A két szempont esetenként egymással szemben érvényesíthető csak, akkor igazán izgalmas a feladat – naplózásnál minél teljesebb dokumentálás a megbízhatóbb ellenőrzés érdekében – igazi kihívás kiválasztani a még elégséges, de teljes védelmet biztosító adatokat.

Az adatvédelem technikai megvalósulása

• Az adatvédelem önmagában elvont követelmény, a következő gyakorlati, technikai követelmények útján valósítható meg:

• rendelkezésre állás - a szoftverek, hardver és egyéb eszközök működésképessége, a rendszer

folyamatos elérhetősége és szolgáltatóképessége • integritás

- megakadályozza az adatok, a szoftverek, a hardverelemek meghamisítását, olyan megváltoztatását, amelyek révén azok hibás eredményre jutnak, vagy nem kívánt működést mutatnak

• megbízhatóság- az adatok nem kerülnek jogosulatlan személyhez vagy szervhez

• hitelesség- nem merülhet fel az adatok származása és szerzője felől kétség

• ellenőrizhetőség - megállapítható, ki, mikor és mely személyes adatokkal végzett adatkezelést

• Ezek meglétét lehet tételesen ellenőrizni, bizonyítani – auditálás

A központi elektronikus szolgáltató rendszer

Ügyfél

Központi elektronikus Szolgáltató rendszer

BEDSZ - biztonságos elektronikusDokumentum továbbítási szolgáltató réteg

Vezérlő logika

Üzenet-feldolgozó alrendszer

Tár

Kezelő

Értesítési tárhely

ügyféltárak: átmeneti és tartós tár, értesítési cím

Szervezeti postafiók hivatali tár

fogadó felület-logisztika

Biztonsági alrendszer

integritás és megváltoztathatatla

nság

Ügyfélkapu bejelentkeztető felületeID/jelszavas

Személyazonosító alrendszer

Link:Ágazati portálok

Kormányzati portál

Elektronikus ügyintézések: Ügytár, ügyindítás, űrlapkitöltés, direkt, el. aláírásos ügyintézés.,

lekérdezések,

Letöltésekkulcstár, Űrlapok,

szerkesztők

Publikus Tájékoztatás

KÜK

Hivatali kapu

elektronikus ügyintézés üzenetek ellenőrzése, átvétel-átadása, logisztikája,

időbélyeg, napló

Közmű kiszolgáló rendszerekBelső

szolgál-tatások

Fórumok, viták,

bejelen-tések

Hirdet-mény-kezelő

Idő -bélyeg

Belső közműCímtár levelező

Hivatali feldolgozó Háttér és Szolgáltató rendszerek

Háttér rendszerek:Okmányirodák, Népesség nyilvántartóReg DB, stb.

Ágazati Szolgáltató rendszerek:-APEH elektronikus bevallás, OEP TAJ

Jogosultság/képviselet

kezelő adattovábbítás törvény alapján

Csatl.Hivatali kliensek

Csatl.Hivatali kliensek

EKG

Néhány kritikus kérdés

Nincs tökéletes rendszer, illetve csak a működésképtelen lehet tökéletes, de lehet és kell optimalizálni

• Egyetlen rendszer vagy önálló ágazati rendszerek

• Elektronikus aláírás vagy központi rendszer az azonosításhoz

• Kell-e egy személynek több azonosító?

• Azonosítás vagy viszontazonosítás?

• Képviselet

• Adatbázisok összekapcsolása vs. adatszolgáltatás interoperabilitása

• A naplózás szükséges és elégséges terjedelme

• Titkosítás

Miért jobb a közműszerű rendszer?

• Két egymásnak ellentmondó hatású alapelv:• A biztonság legfeljebb akkora, mint a biztonsági lánc leggyengébb láncszeme –

jellemzően a leggyengébb pont az ember• A hibák terjedését leginkább a fizikai elválasztás tudja megakadályozni

• Magyarországon a biztonsági kultúra általános hiánya mellett néhány csak kevés helyen lehet a megfelelő adatkezelés feltételeit megteremteni – meglevő kultúrára kell építeni (okmányirodák), nem kell új adatkezelőket bevonni

• Összhangot kell teremteni a biztonság és a használhatóság követelmények között, mégpedig a biztonság lehető legmagasabb szintjén

• Az adatelkerülés követelményét a kevés rendszer elégíti ki jobban, ha biztosítható a profilképzés lehetőségének kizárása

• A rendelkezésre állás követelményét párhuzamos rendszerekkel csak igen rossz hatékonysággal lehet kezelni

Azonosítás lehetőségei

• A személyes ügyintézés fontos feltétele, de nem szabad túlzásba vinni

• Három alapvető azonosítási mód használatos• Tudás alapú – ismerek valamit, csak én ismerem, a közlés igazolja, hogy én vagyok

(jellemzően jelszó)• Birtoklás alapú – birtokomban van valami, ami csak nekem van, a birtoklás igazolja,

hogy én vagyok (pl. kártya, kulcs,stb)• Tulajdonság alapú – van olyan jellemzőm, mérhető, érzékelhető tulajdonságom,

amely kizárólag rám jellemző, és ez azonosít (pl. ujjlenyomat, írisz, hang)

• Magasabb biztonságú azonosítás ezek kombinációjával (csoporton belüli kettőzés sem kizárt – két kulcs )

• A tudás alapú azonosítást egyszerűbb támadhatósága ellenére sem szabad kihagyni, mert egyedül ez tételezi fel a tudatos közrehatást

• Az azonosítás mindig csak valószínűségi, teljes bizonyosság nincs – kockázatok, ezek kezelése

Miért nem elég az e-aláírás?

• Az azonosításhoz vagy egy unikális azonosítóra, vagy több, egyenként nem unikális azonosító unicitást biztosító összegére van szükség

• Az elektronikus aláírás tanúsítványában van ilyen adat, a kártya sorszáma, de annak kezelésére nincs felhatalmazás egyetlen törvényben sem, és ha lenne rögtön általános célú azonosítóvá válhatna – tehát nem megoldás

• Az azonosításra általánosan alkalmazott természetes azonosítókat nem tartalmazza teljes körűen az elektronikus aláírás tanúsítványa, tehát nem elégséges információ- Eatv 2. sz melléklete tartalmazza a tárolandó adatokat- A 11. § az adatkezelési felhatalmazásokat

• Ezért kellett a 11. § (4) bekezdésében a közigazgatásnak speciális lehetőséget biztosítani, hogy egyértelművé tudja tenni az összerendelést

• Ez a megoldás azonban nem vált nemzetközileg elfogadottá, gyakorlattá, így az aláírást a közigazgatásban csak olyan esetekben lehet használni, ahol előzőleg már hozzárendeltük egyértelműen az aláíráshoz ügyfelet. (persze ha az azonosítás a közölt adatok alapján egy nyilvántartásban egyértelmű, akkor alkalmazható)

Kell-e egy személynek több azonosító?

• A lehetőség kell – maga a többes azonosítás felesleges, de nem szabad kivenni a rendszerből

• Ezzel a profilképzést ki lehet zárni, ha a megfigyelő csak a kommunikációt ismeri

• Ezzel szélsőséges értelemben egyszer használatos azonosítókat lehet képezni – igaz meglehetősen nagy munkaráfordítással

• Nem tudjuk ugyanakkor megoldani az azonosító funkcióhoz (kommunikációs irányhoz) kötését

• Kevéssé használt, az igénybevevők 1-2 %-a él vele

A képviselet lehetőségei

• A meghatalmazás teljes viszonyrendszere csak a meghatalmazóra a meghatalmazottra és az eljáró hatóságra tartozik – másnál a profilképzés veszélye merül fel

• Olyan elektronikus meghatalmazási modellt kellett kialakítani, ahol biztosított a meghatalmazó és a meghatalmazott cselekvő közrehatása, ugyanakkor a kettejük közötti kapcsolatot csak az eljáró hatóság ismerheti

• Emellett létezik a hagyományos meghatalmazás és annak az elektronikus aláírásos változata is

• Jogi személyek képviseleténél pedig belép a valós időben előrhető közhiteles nyilvántartások bizonyító eszközként való felhasználásának kérdése is

Adatok összekapcsolása vagy adatszolgáltatás

• Az adatvédők egyik legfőbb félelme az adatbázisok összekapcsolása

• Egy jól működő elektronikus információs rendszerben erre nincs szükség, hiszen minden szervezet lényegében valós időben hozzá tud férni annak a személynek az adataihoz, amit ő egyébként jogszerűen kezel.

• Így biztosítható az adatszolgáltatás szigorú célhoz kötöttsége és nyomonkövethetősége, azaz az elektronizálás éppen a magánszférát fogja védeni az adatbázisok elszaporodásával szemben, ráadásul egy adatot egy helyen valóban megbízhatóvá lehet tenni

• Ez viszont pont-pont modellben megoldhatatlan, ezt csak központon keresztül lehet működtetni

• Az adatok hozzáférhetőségének biztosításához ugyanakkor igen pontos szabványosítás szükséges a leíró adatok oldaláról, különben a rendszerek nem fogják egymást érteni.

Szükséges és elégséges naplózás

• A nyomonkövethetőség alapeleme a megfelelő naplózás

• Ellentmondó igények• A teljesebb bizonyító erő érdekében minél több adatot, minél részletesebben

naplózni• A privacy védelmének legfőbb eszköze az adatelkerülés, csak azt tartsuk nyilván,

ami elengedhetetlen a bizonyításhoz

• Megoldás – csak a rendszer által küldött visszaigazolásokat naplózzuk, azt pedig a levéltári törvény szerint kell amúgy is megőrizni

• Az egyértelmű hozzárendeléshez jó használhatóak az egyirányú leképező függvények, amik igen nagy bizonyossággal kimutatják a változást, de nem teszik lehetővé a visszafejtést

• Elektronikus tértivevény – minőségileg jobb, mint a hagyományos- a tartalom változatlansága is igazolható a tartalom megismerése nélkül

A titkosítás lehetőségei és korlátai

• A központi rendszerben a hatóságok irányában lényegében valamennyi üzenet titkosítva utazik, csak a „boríték” adatait ismerheti meg a rendszer

• Itt biztosítható a titkosító kulcsok megfelelő kezelése, kialakítható a kulcsmenedzsment

• Az egyes állampolgárok számára ezt csak lehetőségként szabad biztosítani, mert a titkosítás nem megfelelő kulcskezelés mellett a saját információk gyakorlatilag visszavonhatatlan elvesztését jelenti

• Vannak viszont olyan adatok, amelyek mozgatása még egy biztonságos rendszerben is csak titkosítva képzelhető el (pl orvosi leletek) Aki nem képes kezelni, az nem fog kényelmesen hozzájutni.

• Nincs Magyarországon megfelelő intézményi modell egy osztott kulcsletéti rendszerhez

• Kezelhetővé kell tenni az információs vagyon öröklését

Köszönöm a figyelmet!

karoly.szittner@ekk.gov.hu

2. számú melléklet a 2001. évi XXXV. törvényhez

• A minősített tanúsítványoknak tartalmazniuk kell az alábbiakat:

• a) annak megjelölését, hogy a tanúsítvány minősített tanúsítvány,

• b) a hitelesítés-szolgáltató és székhelyének (ország-) azonosítóját,

• c) az aláíró nevét vagy egy álnevet, ennek jelzésével,

• d) az aláírónak külön jogszabályban, illetve a szolgáltatási szabályzatban, illetőleg az általános szerződési feltételekben meghatározott speciális jellemzőit, a tanúsítvány szándékolt felhasználásától függően,

• e) azt az aláírás-ellenőrző adatot, amely az aláíró által birtokolt aláírást készítő adatnak felel meg,

• f) a tanúsítvány érvényességi idejének kezdetét és végét, valamint azt az időtartamot, ameddig a hitelesítés-szolgáltató a 9. § (7) bekezdés szerinti feladatot a tanúsítvány vonatkozásában ellátja,

• g) a tanúsítvány azonosító kódját,

• h) az adott tanúsítványt kibocsátó hitelesítés-szolgáltató fokozott biztonságú elektronikus aláírását,

• i) a tanúsítvány használhatósági körére vonatkozó esetleges korlátozásokat,

• j) a tanúsítvány felhasználásának korlátait,

• k) más személy (szervezet) képviseletére jogosító elektronikus aláírás tanúsítványa esetén a tanúsítvány ezen minőségét és a képviselt személy (szervezet) adatait.

2001. évi XXXV törvény 11. §

11. § (1) A hitelesítés-szolgáltatók csak az aláírótól közvetlenül, vagy annak egyértelmű előzetes hozzájárulásával gyűjthetnek személyes adatokat és csak olyan mértékben, ami a tanúsítvány kiadásához szükséges. Az adatokat az adatalany beleegyezése nélkül nem lehet más célra gyűjteni, felhasználni, valamint - a (2)-(3) bekezdésben foglaltak kivételével - harmadik személynek továbbítani.

(2) A hitelesítés-szolgáltató az elektronikus aláírás felhasználásával elkövetett bűncselekmények felderítése vagy megelőzése céljából, illetőleg nemzetbiztonsági érdekből - az érintett személyazonosságát igazoló, valamint a 12. § (2) bekezdése alapján egyeztetett adatok tekintetében - az adatigénylésre külön törvényben meghatározott feltételek teljesülése esetén adatokat továbbít a nyomozó hatóságnak és a nemzetbiztonsági szolgálatoknak. Az adatátadás tényét rögzíteni kell, az adatátadásról a hitelesítés-szolgáltató az aláírót nem tájékoztathatja.

(3) A hitelesítés-szolgáltató a tanúsítvány érvényességét érintő polgári peres, illetve nemperes eljárás során - az érintettség igazolása esetén - az aláíró személyazonosságát igazoló, valamint a 12. § (2) bekezdése alapján egyeztetett adatokat átadhatja az ellenérdekű peres félnek vagy képviselőjének, illetőleg azt közölheti a megkereső bírósággal.

(4) A hitelesítés-szolgáltató az elektronikus aláírás alkalmazásával elektronikus ügyintézést végző közigazgatási szerv megkeresésére - az aláírást alkalmazó személy azonosító adatainak ellenőrzése céljából - adategyeztetést végez és az adatok egyezéséről, vagy az eltérés tényéről a megkereső hatóságot tájékoztatja.

(5) Álnevet használó aláíró esetén a hitelesítés-szolgáltató - a (2)-(3) bekezdésben foglaltak kivételével - csak az aláíró, illetve a 10. § (4) bekezdése szerinti képviselt személy (szervezet) beleegyezésével adhatja át a hatóságoknak vagy bármely más harmadik személynek az aláíró valódi azonosságára vonatkozó adatokat.