Privacy by Design passer offentlig leverandør

Anne Dorte Bach har siden august 2016 været projektleder og DPO (Data Protection Officer) hos Magenta, som udvikler it-løsninger, der er baseret på open source, og som også bliver frigivet på open source-licenser. Virksomheden har i alt 28 medarbejdere fordelt på afdelinger i Aarhus og København og har de senere år fået foden godt ind på det offentlige it-marked.

– Vores vurdering er, at vi egentlig ikke er forpligtet til at have en DPO-funktion, men vi har valgt at indføre den, da vi ønsker at have fuld fokus på databeskyttelse i vores arbejde, siger hun.

Virksomheden er i øjeblikket i fuld gang med implementere de nødvendige tiltag for at kunne leve op til den nye databeskyttelsesforordning. Der bliver i udstrakt grad anvendt kryptering i Magentas løsninger, men virksomheden har ikke en egentlig standard for, hvad der præcist skal krypteres.

– Vi udvikler meget forskellige løsninger, så vi tager stilling til krypteringen ud fra en risikovurdering i forhold til de specifikke leverancer, siger Anne Dorte Bach.

Retten til at blive slettet

Der er også meget fokus på, at løsningerne reelt understøtter retten til at blive slettet. Udviklerne er i gang med at trawle de eksisterende løsninger igennem for at sikre, at data ikke blot bliver markeret som slettet, men rent faktisk kan blive slettet helt, såfremt det er nødvendigt. Databeskyttelsesforordningen lægger ikke op til, at eksisterende systemer skal redesignes ud fra en Privacy by Design-tilgang, men Magenta har i samarbejde med sine kunder valgt at gøre det i flere tilfælde.

– Vores systemer er 100 procent open source, så vi ejer dem jo ikke – vi udvikler og vedligeholder dem. Så vi gennemgår først systemerne internt og snakker derefter med kunderne for at høre, om det kunne give mening at opdatere systemerne med de elementer, der understøtter effektiv databeskyttelse, forklarer Anne Dorte Bach.

Selve grunddesignet af løsningerne, herunder dataminimering, bliver også taget op.

– Vi diskuterer typisk med kunderne, hvilke data det rent faktisk er nødvendigt at indsamle til det specifikke formål, siger hun.

Som databehandler er Magentas rolle som udgangspunkt ret teknisk, men hvor det er relevant, forsøger man også at komme med forslag til kunderne om organisatoriske tiltag, der kunne understøtte bedre databeskyttelse, for eksempel med hensyn til sletning af data.

Intern vidensdeling

Magenta arbejder løbende med at udbrede viden om databeskyttelsesforordningen internt blandt udviklere og projektfolk. Det bliver blandt andet gjort i forbindelse med udviklerdage, hvor databeskyttelse inklusive beredskabsplaner bliver faste punkter. Det vil også blive indarbejdet i de tjeklister, man benytter ved projektopstart.

– Vores held er, at vi er en lille virksomhed, hvor den interne kommunikation om de her emner er hurtig og nem, siger Anne Dorte Bach.

Lille skærpelse

Selvom den 25. maj 2018 er sat som deadline for at leve op til den nye forordning, ser hun arbejdet med databeskyttelse som løbende arbejde, der også vil fortsætte ud over den dato.

– Arbejdet med databeskyttelsesforordningen passer meget fint ind i det, vi i forvejen laver, så vi er ikke på den måde oppe at køre over deadlinen den 25. maj. På den anden side er forordningen sammen med deadlinen en god katalysator og en god mulighed for at få ryddet op der, hvor det måtte være nødvendigt, siger Anne Dorte Bach, som også gerne vil mane til besindelse i forhold til den nye forordning.

– Ret beset er databeskyttelsesforordningen en relativt lille skærpelse af den eksisterende lovgivning, så jeg synes heller ikke, man skal gøre det til mere, end det er. Man skal også være opmærksom på, at det potentielt er lidt af en pengemaskine for it-firmaer og konsulenter, siger hun

Dokumentationen den største udfordring

Anne Dorte Bach tilføjer, at risikoen for store bøder selvfølgelig er et væsentligt nyt element, men den største udfordring ligger et andet sted.

– Den største udfordring for en virksomhed som vores bliver højst sandsynligt, at man nu på et hvilket som helst tidspunkt skal kunne dokumentere i detaljer, hvordan man håndterer databeskyttelsen i løsningerne, siger hun.


Læs også...

Det var en helt ny fornemmelse, da Søren tidligere på året blev ramt af stress, for han havde aldrig oplevet stresssymptomer før. Søren har arbejdet i…

I 1999 havnede Berit Søgaard mere eller mindre tilfældigt i IT-branchen, og hun har arbejdet her lige siden. I dag er hun compliancedirektør i Visma,…

Nettet er proppet til randen med websider, som kan hjælpe dig med det ene eller andet eller har så nørdet viden, at de med fordel kan besøges.

Unge tech-folk fortæller om deres håb og drømme for fremtiden. Danske virksomheder kigger mod et tysk eksporteventyr. Forfatter sætter spot på Kina og…

26-årige Francesca Tremulo rejste til Danmark fra Italien for tre år siden for at realisere drømmen om en fremtid i spilbranchen. Hun er uddannet…

Kinas tech fungerer og er udviklet i benhård konkurrence til at være bedst og billigst. Talentmassen er enorm, og der er prestige og attraktive…

Alberte Viendahl er 25 år og har læst multimediedesign på KEA. Hun er blevet vild med at kode og nørde, og nu vil hun gerne tage en top up-uddannelse…

Benjamin Elias Harris er 27 år, og han har gået på datamatikerlinjen på KEA. Han startede egentlig med at læse engelsk på Københavns Universitet, men…

28-årige Yousra Diab arbejdede i flere år som socialrådgiver, inden hun tog springet og startede på datamatikeruddannelsen. Det har været svært at…

26-årige Sophie Ankjær Andersen har læst multimediedesign på KEA. Hun drømmer om, at hun i fremtiden skal tage sit arbejde med til Bali og arbejde…