It og samfund, It sikkerhed og kryptering, Dansk it-politik

KMD kender Privacy by Design

KMD har håndteret sikkerhed i forhold til persondata i flere årtier. Kravene i databeskyttelsesforordningen om Privacy by Design og Privacy by Default ændrer ikke grundlæggende ved selve systemudviklingen i virksomheden.


Ole Haugaard Madsen, sikkerhedsforsker KMD

– KMD har som selskab siden 1970’erne beskæftiget sig med offentlige systemer indeholdende persondata, så vi har i mange år skullet håndtere og beskytte sensitive data på en god måde, siger Ole Haugaard Madsen, sikkerhedsdirektør i KMD, og fortsætter:

– Den nye forordning introducerer naturligvis nye elementer som øget dokumentationskrav, bøder, krav til risikovurderinger og governance i forhold til databeskyttelse, men vores tilgang flugter med udmeldingen fra Justitsministeriet om, at hvis man er godt med i forhold til den gældende lovgivning, så står man rigtigt godt i forhold til den kommende forordning.

De specifikke krav i databeskyttelsesforordningen om Privacy by Design og Privacy by Default introducerer ifølge Ole Haugaard Madsen ikke fundamentalt nye koncepter i KMD’s tilgang til systemudvikling.

 Koncepter som pseudonymisering og anonymisering er jo ikke nye, og vi har arbejdet med dem i mange år, men gennem kravet i forordningen om Privacy by Design og Privacy by Default bliver de jo i meget højere grad synliggjort og gjort specifikke, siger han.

Ingen silobygning

KMD’s projekt med at implementere databeskyttelsesforordningen blev igangsat i 2015 og kører i to hovedspor: et i forhold til projekt, et andet i forhold til softwareudvikling. Et hovedmål er, at hele tankesættet og bevidstheden om databeskyttelse skal udbredes til hele organisationen.

 Projektet lykkes ikke, hvis vi bygger en ”processilo”, der handler om databeskyttelse. Succesen består i, at databeskyttelsen bliver indarbejdet i de grundlæggende processer inden for projekt og udvikling, siger Ole Haugaard Madsen. 

Han tilføjer, at de aktuelle interne diskussioner i KMD om den rette organisering af arbejdet med databeskyttelse netop går på balancen mellem at forankre bevidstheden og kompetencerne ”lokalt” i projekterne og hos udviklerne over for at have en enhed i virksomheden, der har de helt dybe kompetencer på området. Hans vurdering er, at det ikke er et enten-eller, men bør være et både-og.

Tjeklister

Helt konkret foregår selve implementeringen af databeskyttelsesforordningen blandt andet ved at indbygge en række tjeklister i de eksisterende processer.

 Vi gennemgår løbende vores leverancemodeller, og som en del af det almindelige arbejde med at opdatere dem vil vi implementere tjeklister, der sikrer, at man har gjort sig de nødvendige tanker om databeskyttelsen, siger Ole Haugaard Madsen og fortsætter:

 Det vigtige er at finde en ramme for beskrivelsen af Privacy by Design og Privacy by Default. Det første element, der skal defineres i et softwareprojekt, er, hvad der er nødvendigt i den specifikke løsning. Og det indebærer en analyse af risici og fastlæggelse af tekniske kontroller.

Automatiseret softwarevalidering kan ikke stå alene

Der findes teknologi til at validere systemerne op imod krav til databeskyttelse, men ifølge Ole Haugaard Madsen handler det mere om, at databeskyttelse bliver en integreret del af de forskellige discipliner, der bringes i spil i forbindelse med udvikling og levering af systemerne. Hvis man vælger at understøtte overholdelsen af krav til databeskyttelse ved hjælp af teknologi, har han et godt råd:

 Man bør ikke blindt stole på en softwarevalideringsløsning, der melder grøn, gul eller rød på databeskyttelsen i en løsning. Resultatet af en automatiseret test vil altid skulle vurderes i det konkrete tilfælde, for eksempel ud fra hvor kritisk løsningen er, siger han.

Som eksempel nævner han en health care-løsning, hvor en hjemmehjælper har adgang til kritiske data fra en iPad. Her drejer det sig om at kunne dokumentere alle de valg, der er taget, og at have valideret, at alle potentielle risici i forhold til databeskyttelsen er blevet adresseret.

Stor efterspørgsel efter kombinationskompetencer

Den øgede fokus på sikkerhed og databeskyttelse har også betydet en udvikling i kravene til de kompetencer, som bliver efterspurgt i en virksomhed som KMD.

 Der er stort behov for dygtige udviklere med kompetencer inden for sikkerhed. De kan være svære at finde i dag, og det er helt sikkert nødvendigt, at flere udviklere bliver uddannet i sikkerhed, sikker kode og de koncepter, der har med databeskyttelse at gøre. Som i mange andre sammenhænge er man i høj kurs, hvis man magter at skræve over to områder, siger Ole Haugaard Madsen.