Privacy by Design passer offentlig leverandør

Anne Dorte Bach har siden august 2016 været projektleder og DPO (Data Protection Officer) hos Magenta, som udvikler it-løsninger, der er baseret på open source, og som også bliver frigivet på open source-licenser. Virksomheden har i alt 28 medarbejdere fordelt på afdelinger i Aarhus og København og har de senere år fået foden godt ind på det offentlige it-marked.

– Vores vurdering er, at vi egentlig ikke er forpligtet til at have en DPO-funktion, men vi har valgt at indføre den, da vi ønsker at have fuld fokus på databeskyttelse i vores arbejde, siger hun.

Virksomheden er i øjeblikket i fuld gang med implementere de nødvendige tiltag for at kunne leve op til den nye databeskyttelsesforordning. Der bliver i udstrakt grad anvendt kryptering i Magentas løsninger, men virksomheden har ikke en egentlig standard for, hvad der præcist skal krypteres.

– Vi udvikler meget forskellige løsninger, så vi tager stilling til krypteringen ud fra en risikovurdering i forhold til de specifikke leverancer, siger Anne Dorte Bach.

Retten til at blive slettet

Der er også meget fokus på, at løsningerne reelt understøtter retten til at blive slettet. Udviklerne er i gang med at trawle de eksisterende løsninger igennem for at sikre, at data ikke blot bliver markeret som slettet, men rent faktisk kan blive slettet helt, såfremt det er nødvendigt. Databeskyttelsesforordningen lægger ikke op til, at eksisterende systemer skal redesignes ud fra en Privacy by Design-tilgang, men Magenta har i samarbejde med sine kunder valgt at gøre det i flere tilfælde.

– Vores systemer er 100 procent open source, så vi ejer dem jo ikke – vi udvikler og vedligeholder dem. Så vi gennemgår først systemerne internt og snakker derefter med kunderne for at høre, om det kunne give mening at opdatere systemerne med de elementer, der understøtter effektiv databeskyttelse, forklarer Anne Dorte Bach.

Selve grunddesignet af løsningerne, herunder dataminimering, bliver også taget op.

– Vi diskuterer typisk med kunderne, hvilke data det rent faktisk er nødvendigt at indsamle til det specifikke formål, siger hun.

Som databehandler er Magentas rolle som udgangspunkt ret teknisk, men hvor det er relevant, forsøger man også at komme med forslag til kunderne om organisatoriske tiltag, der kunne understøtte bedre databeskyttelse, for eksempel med hensyn til sletning af data.

Intern vidensdeling

Magenta arbejder løbende med at udbrede viden om databeskyttelsesforordningen internt blandt udviklere og projektfolk. Det bliver blandt andet gjort i forbindelse med udviklerdage, hvor databeskyttelse inklusive beredskabsplaner bliver faste punkter. Det vil også blive indarbejdet i de tjeklister, man benytter ved projektopstart.

– Vores held er, at vi er en lille virksomhed, hvor den interne kommunikation om de her emner er hurtig og nem, siger Anne Dorte Bach.

Lille skærpelse

Selvom den 25. maj 2018 er sat som deadline for at leve op til den nye forordning, ser hun arbejdet med databeskyttelse som løbende arbejde, der også vil fortsætte ud over den dato.

– Arbejdet med databeskyttelsesforordningen passer meget fint ind i det, vi i forvejen laver, så vi er ikke på den måde oppe at køre over deadlinen den 25. maj. På den anden side er forordningen sammen med deadlinen en god katalysator og en god mulighed for at få ryddet op der, hvor det måtte være nødvendigt, siger Anne Dorte Bach, som også gerne vil mane til besindelse i forhold til den nye forordning.

– Ret beset er databeskyttelsesforordningen en relativt lille skærpelse af den eksisterende lovgivning, så jeg synes heller ikke, man skal gøre det til mere, end det er. Man skal også være opmærksom på, at det potentielt er lidt af en pengemaskine for it-firmaer og konsulenter, siger hun

Dokumentationen den største udfordring

Anne Dorte Bach tilføjer, at risikoen for store bøder selvfølgelig er et væsentligt nyt element, men den største udfordring ligger et andet sted.

– Den største udfordring for en virksomhed som vores bliver højst sandsynligt, at man nu på et hvilket som helst tidspunkt skal kunne dokumentere i detaljer, hvordan man håndterer databeskyttelsen i løsningerne, siger hun.


Læs også...

Dagligt hører vi om nye hackerangreb, og frygten for, at store angreb kan lægge vores samfund ned, bliver mere og mere reel. Nye it-sikkerhedsregler…

I år har 5.187 personer søgt ind på en it-uddannelse via kvote 2. Det er 10 pct. flere end i 2023.

Den to-årige overenskomst for ansatte i staten er endelig forhandlet på plads for de enkelte organisationer. For ansatte på PROSAs overenskomst…

33-årige Ahmed Zewain drømte om at blive astronom eller astrofysiker, men i dag laver han AI-algoritmer. Han er god til matematik – ikke sådan…

Det er en leg at kode for Simon Moe Sørensen – men det er ikke nok, at du laver verdens flotteste kode, hvis du gerne vil være en succesfuld data…

Politisk rådgiver og talnørd hos PROSA, Ole Tange, giver her en hurtigt introduktion til kryptering.

Musk sagsøger ChatGPT, Instagram mest downloadede app, Netcompany-sagen ruller videre, flere får terapi af chatbots, Apple får kæmpebøde fra Vestager,…

AI-hypen buldrer afsted, men samtidig hober spørgsmålene og usikkerheden sig op – for hvordan sikrer vi, at vi bruger kunstig intelligens på en…

13 nye anbefalinger om tech-giganternes brug af kunstig intelligens er landet fra regeringens ekspertgruppe. Anbefalingerne peger blandt andet på, at…

Advarsler bruges flittigt blandt ledere og kan også bruges som dokumentation for en afskedigelse. Som regel løber en advarsel et år. Men hvad er…