November 28, 2019

GDPR: Hvad er databeskyttelse gennem design?

Persondataforordningen introducerer som noget nyt, at de dataansvarlige skal implementere databeskyttelse gennem design og standardindstillinger. I denne artikel vil vi se på, hvad dette krav betyder i praksis.

Hvad er databeskyttelse gennem design?

Forestil dig at du i et it-system med kundedata har en fritekstfelt – altså et felt, der er åbent for at man kan skrive kommentarer. Kollegerne har gennem årene skrevet alle mulige mærlige ting i dette felt:

“Kunden har ikke modtaget betaling fra sin kunde og vi har derfor givet 14 dages ekstra kredit”
”Kunden er en kværulant, der brokker sig over alt og er desuden uforskammet overfor sælgerne”
”Kunden går til kræftbehandling og har derfor ikke mulighed for at betale og har fået en måneds ekstra kredit”
”Kunden, der nu hedder Bent, hed tidligere Lise”
”Kunden har fået 14 dages henstand fordi han pt. afsoner 3 måneders straf for vold”
”Kunden har været i RKI 2 gange i 2005, tre gange i 2008 og fire gange i 2017 og desuden ingen friværdi i sit hus”

De fleste af disse oplysninger vil det ikke være lovligt at opbevare i et kundesystem – alligevel er det et faktum, at mange systemer indeholder sådanne oplysninger.

Man kan fremadrettet løse dette problem ved at ændre designet af sit system, således at fritekstfeltet erstattes af et rullegardin, hvor man definerer hvilke rimelige forhold, der kan fyldes ind i feltet. Det kunne f.eks. være: Automatisk dato + Automatiske brugerinitialer +

Kunden har fået 14 dages ekstra henstand til betalinger
Kunden har skiftet kontaktperson
Kunden er vurderet til ikke at være kreditværdig
Andre forhold, som der er en lovlig og saglig grund til at registrere

Ovenstående er et eksempel på databeskyttelse gennem design. Man ændrer designet af sine it-systemer fra fritekstfelt til rullegardin således, at det sikres, at der ikke fremadrettet indtastes ulovlige eller usaglige oplysninger. Når man skal vurdere, hvad det er rimeligt at udfylde i rullegardinet, kan man tænke over, hvad man reelt har brug for at behandle, og hvad man selv synes, at det ville være rimeligt at registrere, hvis det var en selv, der blev omtalt i sådan et system.

Designbegrebet er bredt

Designbegrebet skal forstås meget bredt. Designet skal understøtte hele forordningen. Man skal således designe efterlevelse af de grundlæggende principper som f.eks. dataminimering og opfyldelse af opbevaringsbegrænsningen ind i løsningen. Desuden skal man designe understøttelse af alle de garantier, som gives de registrerede i forordningen ind i løsningen. Det kan f.eks. være understøttelse af sletning fra mailiste i forbindelse med at samtykke trækkes tilbage eller opfyldelse af oplysningspligten på et relevant tidspunkt inden oplysninger indsamles og behandles.

Designkravet er noget andet end sikkerhedskravet, på trods af at der i begge sammenhænge tales om foranstaltninger. Sikkerhedsmæssige foranstaltninger er lavet for at understøtte sikkerheden for de registreredes data. Designforanstaltningerne er lavet for at sikre understøttelse af forordningen i bred forstand. Men man kan naturligvis også designe sikkerhedsforanstaltninger ind i sine løsninger. Det vil f.eks. være tilfældet, hvis man designer krypteret lagring ind i et system.

Konkretisering

Der er ikke meget hjælp at hente i forordningen, når det drejer sig om at forstå indholdet af begrebet. Der nævnes faktisk kun pseudonymisering som konkret eksempel. Databeskyttelse gennem design stammer fra Ann Cavokian, der var chef for det canadiske datatilsyn tilbage i slutningen af 90’erne. Hun har om nogen været forkvinde for at få begrebet udbredt. Ved at se på Cavoukians definition af begrebet kan man få et godt fortolkningsbidrag til at forstå, hvad man skal lægge i begrebet. Begrebet er konkretiseret i syv principper, som kan operationaliseres teknologisk, som det kan ses nedenfor.

Proaktiv, ikke reaktiv
Foranstaltninger skal altså iværksættes inden en risiko materialiserer sig.
Privacy som standardindstilling
Den registrerede skal ikke selv foretage sig noget for at beskytte sine oplysninger; beskyttelsen skal være slået til fra starten.
Privacy skal være indlejret i systemet
Foranstaltningerne skal designes ind i et systems arkitektur og ikke tilføjes efterfølgende
Der skal være fuld funktionalitet
Der skal være både fuld funktionalitet og fuld sikkerhed, og der må således ikke være en modstrid mellem sikkerhed og databeskyttelse.
Beskyttelse i hele livscyklussen
Beskyttelsen skal indbygges i designfasen inden systemet sættes i drift og være aktiv i hele systemets levetid.
Transparens
Der skal være gennemsigtighed i forretningsmodeller og teknologier, og det der signaleres, skal kunne verificeres (af en uafhængig tredjepart).
Respekt for privatlivet
Det er vigtigt at have fokus på den registrerede og derved have høje privatlivsstandarder og sikre brugervenlige notifikationer og indstillinger

Forordningen lader det dog være op til den dataansvarlige at vurdere, om det er netop disse syv principper, man vil lægge ind i sit design. Forordningen refererer således ikke direkte til Cavoukians principper, om end man direkte har indarbejdet ”by default” princippet i lovgivningen. Man ville som alternativ kunne anvende Hoepmanns designstrategier eller noget man opfinder selv. Der overlades dermed et betydeligt skøn til den dataansvarlige.

Rådet for Digital Sikkerhed har lavet en casesamling om databeskyttelse gennem design, som kan findes på Rådets hjemmeside. Desuden har forfatteren af denne artikel skrevet en artikel til Revision og Regnskabsvæsen, som uddyber emnet yderligere. Endelig uddyber Datatilsynet begrebet i deres sikkerheds- og designvejledning. Der er links til alle disse kilder nedenfor.