Privacy by Design passer offentlig leverandør

Anne Dorte Bach har siden august 2016 været projektleder og DPO (Data Protection Officer) hos Magenta, som udvikler it-løsninger, der er baseret på open source, og som også bliver frigivet på open source-licenser. Virksomheden har i alt 28 medarbejdere fordelt på afdelinger i Aarhus og København og har de senere år fået foden godt ind på det offentlige it-marked.

– Vores vurdering er, at vi egentlig ikke er forpligtet til at have en DPO-funktion, men vi har valgt at indføre den, da vi ønsker at have fuld fokus på databeskyttelse i vores arbejde, siger hun.

Virksomheden er i øjeblikket i fuld gang med implementere de nødvendige tiltag for at kunne leve op til den nye databeskyttelsesforordning. Der bliver i udstrakt grad anvendt kryptering i Magentas løsninger, men virksomheden har ikke en egentlig standard for, hvad der præcist skal krypteres.

– Vi udvikler meget forskellige løsninger, så vi tager stilling til krypteringen ud fra en risikovurdering i forhold til de specifikke leverancer, siger Anne Dorte Bach.

Retten til at blive slettet

Der er også meget fokus på, at løsningerne reelt understøtter retten til at blive slettet. Udviklerne er i gang med at trawle de eksisterende løsninger igennem for at sikre, at data ikke blot bliver markeret som slettet, men rent faktisk kan blive slettet helt, såfremt det er nødvendigt. Databeskyttelsesforordningen lægger ikke op til, at eksisterende systemer skal redesignes ud fra en Privacy by Design-tilgang, men Magenta har i samarbejde med sine kunder valgt at gøre det i flere tilfælde.

– Vores systemer er 100 procent open source, så vi ejer dem jo ikke – vi udvikler og vedligeholder dem. Så vi gennemgår først systemerne internt og snakker derefter med kunderne for at høre, om det kunne give mening at opdatere systemerne med de elementer, der understøtter effektiv databeskyttelse, forklarer Anne Dorte Bach.

Selve grunddesignet af løsningerne, herunder dataminimering, bliver også taget op.

– Vi diskuterer typisk med kunderne, hvilke data det rent faktisk er nødvendigt at indsamle til det specifikke formål, siger hun.

Som databehandler er Magentas rolle som udgangspunkt ret teknisk, men hvor det er relevant, forsøger man også at komme med forslag til kunderne om organisatoriske tiltag, der kunne understøtte bedre databeskyttelse, for eksempel med hensyn til sletning af data.

Intern vidensdeling

Magenta arbejder løbende med at udbrede viden om databeskyttelsesforordningen internt blandt udviklere og projektfolk. Det bliver blandt andet gjort i forbindelse med udviklerdage, hvor databeskyttelse inklusive beredskabsplaner bliver faste punkter. Det vil også blive indarbejdet i de tjeklister, man benytter ved projektopstart.

– Vores held er, at vi er en lille virksomhed, hvor den interne kommunikation om de her emner er hurtig og nem, siger Anne Dorte Bach.

Lille skærpelse

Selvom den 25. maj 2018 er sat som deadline for at leve op til den nye forordning, ser hun arbejdet med databeskyttelse som løbende arbejde, der også vil fortsætte ud over den dato.

– Arbejdet med databeskyttelsesforordningen passer meget fint ind i det, vi i forvejen laver, så vi er ikke på den måde oppe at køre over deadlinen den 25. maj. På den anden side er forordningen sammen med deadlinen en god katalysator og en god mulighed for at få ryddet op der, hvor det måtte være nødvendigt, siger Anne Dorte Bach, som også gerne vil mane til besindelse i forhold til den nye forordning.

– Ret beset er databeskyttelsesforordningen en relativt lille skærpelse af den eksisterende lovgivning, så jeg synes heller ikke, man skal gøre det til mere, end det er. Man skal også være opmærksom på, at det potentielt er lidt af en pengemaskine for it-firmaer og konsulenter, siger hun

Dokumentationen den største udfordring

Anne Dorte Bach tilføjer, at risikoen for store bøder selvfølgelig er et væsentligt nyt element, men den største udfordring ligger et andet sted.

– Den største udfordring for en virksomhed som vores bliver højst sandsynligt, at man nu på et hvilket som helst tidspunkt skal kunne dokumentere i detaljer, hvordan man håndterer databeskyttelsen i løsningerne, siger hun.


Læs også...

Statsministerens ønske om forbud er ikke vejen frem, men et vigtigt indspark. Vi burde tale om begrænsning, uddannelse og regulering i stedet for…

For tre år siden så Digitaliseringsstyrelsens cyberhotline dagens lys. Hotlinen skal hjælpe borgere og virksomheder, der bliver ramt af hackerangreb…

Internettet er faktisk sundt, viser en ny undersøgelse, der kommer netop som techgiganter ventes at udfordre Google i kampen om markedsandele med…

PROSAS seneste undersøgelse viser, at 54 procent af medlemmerne ikke havde en eneste dag med efteruddannelse i 2023. "Det er bekymrende", synes…

Lønnen steg mere for PROSA-medlemmer i 2023 end i den øvrige branche. Det viser den nyeste lønstatistik fra 2024.

"It-folk er eftertragtede og en…

Gustav, Valdemar og Julie elsker at game, og de får lov til at dyrke deres passion hver eneste dag – de går nemlig på game design-linjen på Københavns…

Simon og Danni er to af de it-sikkerhedsfolk, som hver dag sidder og kæmper mod hackerne. De kan kalde på Supermand og Catwoman, når der sker noget…

Kønsfordelingen er skæv i it-branchen, men hvorfor er det overhovedet et problem? Og hvordan er vi havnet her? Rikke Kristine Østergaard har en…

Kunstig intelligens gnaver sig med lynets hast ind i it-sikkerhedsbranchen – og det giver både muligheder og udfordringer, påpeger Jacob Herbst fra…

Hvis det offentlige bøjer sig så meget for tech-giganterne, at de ligefrem vil gøre det ulovlige lovligt, så er en vigtig beskyttelse af os alle…