Henning Mortensen, gennem 15 år seniorrådgiver i Dansk Industri, formand for Rådet for Digital sikkerhed og Chief Privacy Officer i grossistvirksomheden Brødrene A&O Johansen A/S, er kritisk over for den tolkning af databeskyttelsesforordningen, som Justitsministeriet har offentliggjort i form af den såkaldte Betænkning Nr. 1565. Betænkningen er et vigtigt dokument, da den skal fungere som grundlag for, at forordningen bliver korrekt gennemført i dansk ret inklusive eventuelle nationale særregler.
– Hovedbudskabet i betænkningen er, at der ikke rigtigt er noget nyt under solen, og at man næsten er i mål, hvis man overholder den nuværende lovgivning, siger han og fortsætter:
– Jeg mener, at Betænkning Nr. 1565 er et super nyttigt og godt værk fra Justitsministeriet, men i forhold til Privacy by Design-bestemmelsen i forordningen har ministeriet valgt en relativt snæver og sikkerhedsorienteret udlægning, hvilket betyder, at man kan konkludere, at man stort set er dækket ind af den nuværende lovgivning. Det ville man ikke kunne, hvis man havde valgt den bredere udlægning af Privacy by Design, som forordningen efter min mening lægger op til.
Hvis virksomhederne læner sig op ad Justitsministeriets udlægning, er konsekvensen ifølge Henning Mortensen, at vi risikerer ikke at få den den privacy-beskyttelse, som var målet med forordningen.
Bredere definition i Norge
Som et udtryk for, at det danske justitsministerium har valgt en relativt snæver tolkning af Privacy by Design-begrebet, henviser han til det norske datatilsyns vejledning.
– Det norske datatilsyn har i sin vejledning til forordningen – i modsætning til det danske justitsministerium – eksplicit henvist til de syv grundlæggende principper i Privacy by Design, som de i sin tid blev formuleret af Ann Cavoukian, og som vel nærmest udgør definitionen af begrebet. Dermed bliver Privacy by Design-konceptet bredt ud i en grad, så der vil ligge en forpligtelse til at implementere tekniske løsninger, der understøtter privacy i hele forordningens forstand og ikke blot løsninger, der understøtter den grundlæggende datasikkerhed fra sikkerhedsbestemmelsen i Artikel 32, siger han.
Som eksempler på tekniske tiltag, der understøtter privacy, men som ikke er sikkerhedstiltag, nævner han automatiseret dokumentation af, at der er indhentet samtykke hos den registrerede, automatisk sletning af data efter en bestemt tid og automatisering af processen med at give borgeren indsigt i sine persondata. Det er den type løsninger, som Justitsministeriet ifølge Henning Mortensen har skåret fra i den udlægning af Privacy by Design, som er indeholdt i Betænkning Nr. 1565.
Justitsministeriets svar
Justitsministeriet er blevet forelagt kritikken fra Henning Mortensen og udtaler i et mailsvar, at Betænkning Nr. 1565 tager ”afsæt i den forståelse af begrebet databeskyttelse gennem design, som lægges til grund i Artikel 29-Gruppens udtalelse (i dokumentet ”The Future of Privacy”, red.) og Datatilsynets praksis, og når der netop inddrages en udtalelse fra Artikel 29-Gruppen, er det et udtryk for, at det er centralt, at den fælles europæiske forståelse af begrebet indgår i betænkningen.”
Artikel 29-Gruppen er en rådgivende og uafhængig gruppe nedsat af EU, hvis funktion er at komme med henstillinger, udtalelser og notater til forståelse og implementering af databeskyttelsesforordningen.
Justitsministeriet siger endvidere i sit svar, at der ”i december måned 2017 vil blive offentliggjort en praktisk anvendelig vejledning, hvor forståelsen af databeskyttelse gennem design og standardindstillinger bliver gennemgået detaljeret og foldet mere ud.”
