Ole Tange, it-politisk rådgiver i PROSA, har gennem mange år beskæftiget sig med datasikkerhed, herunder Privacy by Design. Han ser den nye databeskyttelsesforordning som en mulighed for et forstærket fokus på Privacy by Design (PbD) som en helt naturlig del af udviklingen af it-løsninger.
– Helt konkret kan det for eksempel handle om, at CPR-nummer og personoplysninger ikke er koblet i samme datasæt, men at man i første omgang blot har en kobling mellem personoplysningerne og et transaktionsnummer. Koblingen til CPR-nummeret kan så ligge i en separat tabel, som man kan slå op i, når der er behov for det. Det kræver ikke ny og avanceret teknologi, men er blot et sundt princip, der vil være et godt skridt på vejen hen imod PbD, siger han.
Standardteknikker på vej
Der forskes for tiden i nye teknologier som Multiparty Computation og andre avancerede teknikker, hvor princippet er, at kritiske data kan holdes skjult for de involverede parter, uden at det går ud over den ønskede funktionalitet. Ole Tange tror på, at disse teknikker med tiden vil vinde indpas inden for mainstream-softwareudvikling.
– Lige nu er der gang i udvikling af teknologier, som ad åre vil blive stillet til rådighed som standardmoduler for udviklerne. Indtil det sker, er det vigtigt, at systemarkitekter, udviklere og andre, der er involveret i udviklingsprocessen, til hver en tid er opmærksomme på, at databeskyttelsen bliver bygget ind i løsningerne med de midler, vi har til rådighed i dag, siger han og tilføjer:
– Det kan jo sommetider være svært for menige udviklere at komme igennem med forslag, der potentielt er en merudgift, men med de bøder, virksomhederne nu kan risikere at få, hvis de ikke lever op til forordningen, kan udviklerne jo hjælpe virksomheden med at undgå et økonomisk tab.
Gode karrieremuligheder
Ole Tange ser aktuelt et problem i manglende kompetencer inden for Privacy by Design. Emnet fylder ikke meget på de forskellige it-uddannelser, men det findes dog. Konkret peger han på tre kurser inden for sikkerhed og databeskyttelse, der udbydes af Aalborg Universitets Center for Communication, Media and Information Technologies i København (se faktaboks). Ole Tange mener, at der ligger gode karrieremuligheder i at uddanne sig inden for området.
– I forhold til eksempelvis USA og Asien har vi herhjemme et stort fokus på området, så jeg tror, der ligger nogle rigtig gode forretningsmuligheder og dermed også karrieremuligheder i det, siger han.
Risiko for udvanding af PbD
I databeskyttelsesforordningen tales der om indførelse af ”passende tekniske og organisatoriske foranstaltninger” til at understøtte PbD. Der er et element af ”gummiparagraf” i en sådan formulering, og Ole Tange kan også være bekymret for, at PbD-begrebet bliver misforstået og implementeringen dermed utilstrækkelig.
– Risikoen er, at nogle misforstår begrebet og udvander det i retning af Privacy by Policy. På den anden side er det også nødvendigt, at lovgivningen har lidt ”gummi” i sig, så den ikke for hurtigt bliver forældet. Derfor bliver det uhyre vigtigt, at de fortolkninger, der bliver lagt ned over lovgivningen, bevæger sig i den rigtige retning, siger han.
Overholder ikke gældende lovgivning
I den betænkning, som Justitsministeriet har udsendt som retningslinjer for implementeringen af den nye forordning, er hovedbudskabet, at hvis man overholder den nuværende lovgivning, er man ikke så langt fra målet. Ole Tange er i princippet enig i den udlægning, men der er et stort men:
– Problemet er, at rigtigt mange virksomheder i dag ikke lever op til den nuværende lovgivning med hensyn til beskyttelse af persondata, så for dem ligger der et stort stykke arbejde i at implementere de nødvendige tiltag i forhold til den nye forordning, siger Ole Tange.