Privacy by Design passer offentlig leverandør

Anne Dorte Bach har siden august 2016 været projektleder og DPO (Data Protection Officer) hos Magenta, som udvikler it-løsninger, der er baseret på open source, og som også bliver frigivet på open source-licenser. Virksomheden har i alt 28 medarbejdere fordelt på afdelinger i Aarhus og København og har de senere år fået foden godt ind på det offentlige it-marked.

– Vores vurdering er, at vi egentlig ikke er forpligtet til at have en DPO-funktion, men vi har valgt at indføre den, da vi ønsker at have fuld fokus på databeskyttelse i vores arbejde, siger hun.

Virksomheden er i øjeblikket i fuld gang med implementere de nødvendige tiltag for at kunne leve op til den nye databeskyttelsesforordning. Der bliver i udstrakt grad anvendt kryptering i Magentas løsninger, men virksomheden har ikke en egentlig standard for, hvad der præcist skal krypteres.

– Vi udvikler meget forskellige løsninger, så vi tager stilling til krypteringen ud fra en risikovurdering i forhold til de specifikke leverancer, siger Anne Dorte Bach.

Retten til at blive slettet

Der er også meget fokus på, at løsningerne reelt understøtter retten til at blive slettet. Udviklerne er i gang med at trawle de eksisterende løsninger igennem for at sikre, at data ikke blot bliver markeret som slettet, men rent faktisk kan blive slettet helt, såfremt det er nødvendigt. Databeskyttelsesforordningen lægger ikke op til, at eksisterende systemer skal redesignes ud fra en Privacy by Design-tilgang, men Magenta har i samarbejde med sine kunder valgt at gøre det i flere tilfælde.

– Vores systemer er 100 procent open source, så vi ejer dem jo ikke – vi udvikler og vedligeholder dem. Så vi gennemgår først systemerne internt og snakker derefter med kunderne for at høre, om det kunne give mening at opdatere systemerne med de elementer, der understøtter effektiv databeskyttelse, forklarer Anne Dorte Bach.

Selve grunddesignet af løsningerne, herunder dataminimering, bliver også taget op.

– Vi diskuterer typisk med kunderne, hvilke data det rent faktisk er nødvendigt at indsamle til det specifikke formål, siger hun.

Som databehandler er Magentas rolle som udgangspunkt ret teknisk, men hvor det er relevant, forsøger man også at komme med forslag til kunderne om organisatoriske tiltag, der kunne understøtte bedre databeskyttelse, for eksempel med hensyn til sletning af data.

Intern vidensdeling

Magenta arbejder løbende med at udbrede viden om databeskyttelsesforordningen internt blandt udviklere og projektfolk. Det bliver blandt andet gjort i forbindelse med udviklerdage, hvor databeskyttelse inklusive beredskabsplaner bliver faste punkter. Det vil også blive indarbejdet i de tjeklister, man benytter ved projektopstart.

– Vores held er, at vi er en lille virksomhed, hvor den interne kommunikation om de her emner er hurtig og nem, siger Anne Dorte Bach.

Lille skærpelse

Selvom den 25. maj 2018 er sat som deadline for at leve op til den nye forordning, ser hun arbejdet med databeskyttelse som løbende arbejde, der også vil fortsætte ud over den dato.

– Arbejdet med databeskyttelsesforordningen passer meget fint ind i det, vi i forvejen laver, så vi er ikke på den måde oppe at køre over deadlinen den 25. maj. På den anden side er forordningen sammen med deadlinen en god katalysator og en god mulighed for at få ryddet op der, hvor det måtte være nødvendigt, siger Anne Dorte Bach, som også gerne vil mane til besindelse i forhold til den nye forordning.

– Ret beset er databeskyttelsesforordningen en relativt lille skærpelse af den eksisterende lovgivning, så jeg synes heller ikke, man skal gøre det til mere, end det er. Man skal også være opmærksom på, at det potentielt er lidt af en pengemaskine for it-firmaer og konsulenter, siger hun

Dokumentationen den største udfordring

Anne Dorte Bach tilføjer, at risikoen for store bøder selvfølgelig er et væsentligt nyt element, men den største udfordring ligger et andet sted.

– Den største udfordring for en virksomhed som vores bliver højst sandsynligt, at man nu på et hvilket som helst tidspunkt skal kunne dokumentere i detaljer, hvordan man håndterer databeskyttelsen i løsningerne, siger hun.


Læs også...

På grund af den nye lov om registrering af arbejdstid, har PROSAs juridiske team hen over sommeren fået mange henvendelser omkring tidsregistrering og…

Forestående ferietid betyder desværre også fyringstid og ”oprydning” i en del virksomheder. Det fortæller jurist Camilla Winter, som her giver et par…

Vi kan ligeså godt se det i øjnene - juli vejret er lunefuldt og rammer ofte sommerdrømmene som en våd karklud. Men fortvivl ikke! PROSAs egen film-…

Internettet og computerbranchen var engang det vilde vesten, et sted, hvor man kunne gøre, hvad man ville uden nogen form for ansvar for almindelige…

Hvad er op og ned i junglen af sundhedstrends? PROSAbladet har spurgt Martin Grønne Jensen, som er dataingeniør, holder foredrag om longevity og er…

Vil du gerne leve længere, så bør du måske give longevity escape velocity-teorien lidt opmærksomhed. Tilhængerne af teorien mener nemlig, at vi kan…

Ny image-analyse fra Computerworld rykker ikke ved, hvem de danske it-professionelle sætter ind på en førsteplads. Til gengæld må Apple se sig slået…

XZ Utils-angrebet havde potentialet til at blive det mest alvorlige supply chain attack til dato, men angrebet blev (heldigvis) spottet i tide, fordi…

JA, siger Isak, Amanda, Lea, Martha og Hannibal. De er mellem 16-26 år og bruger dagligt flere timer på at scrolle gennem de sociale medier for at…

Er du en af de mange dimittender, som står med et nytrykt eksamensdiplom i hånden og er på vej ud på arbejdsmarkedet? Så er Kasper Bach manden, du…