It og samfund, Dansk it-politik

Nu bliver Privacy by Design lovpligtigt

Privacy by Design skal fremover være en helt naturlig og integreret del af systemudviklingsprocessen. Den enkelte udvikler skal være med til at sikre, at det sker.


- Formålet med Privacy by Design og Privacy by Default er at sikre, at selve designet og grundindstillingerne i løsningen gør det umuligt eller i hvert tilfælde meget svært at misbruge data, hvis det skulle slippe ud, siger Gert Læssø Mikkelsen, ph.d. i kryprografi og leder af Security Lab på Alexandra Instituttet. (Foto Stig Andersen). 

Den 25. maj 2018 træder den nye EU-databeskyttelsesforordning i kraft i Danmark. Et af de overordnede mål med forordningen er at sikre den enkelte borgers ret til beskyttelse af personoplysninger – en ret som de senere år har været under stærkt pres på grund af både offentlige og kommercielle aktørers stadig mere effektive indsamling og anvendelse af persondata.

Forordningen indeholder en lang række elementer, der skal understøtte dette formål. Store bøder ved overtrædelse af forordningen og under visse omstændigheder krav om ansættelse af en Data Protection Office (DPO) har været de mest omtalte elementer, men der er andre vigtige bestemmelser i forordningen, som har direkte indflydelse på den måde, man designer og udvikler it-løsninger på. Forordningen indeholder således krav om ”databeskyttelse gennem design” og ”databeskyttelse gennem standardindstillinger”, nok bedre kendt som henholdsvis Privacy by Design og Privacy by Default.

Datalæk vil ske

– Erfaringerne viser, at når man designer nye it-løsninger, så skal udgangspunktet være, at der vil ske datalæk, hvor personoplysninger slipper ud. Præmissen med, at vi designer et system og bagefter beskytter det med diverse sikkerhedstiltag, holder ganske enkelt ikke. Formålet med Privacy by Design og Privacy by Default er netop at sikre, at selve designet og grundindstillingerne i løsningen gør det umuligt, eller i hvert tilfælde meget svært at misbruge data, hvis de skulle slippe ud, forklarer Gert Læssø Mikkelsen, ph.d. i kryptografi og leder af Security Lab på Alexandra Instituttet.

Beskyttelse af data skal således være en helt naturlig og integreret del af løsningen, og det må ikke være noget, der aktivt skal skal slås til i nogle indstillinger – løsningen skal være født med beskyttelsen slået til.

Selve konceptet Privacy by Design (PbD) blev udviklet i 1990’erne og publiceret i 2009 af Ann Cavoukian, der fra 1997 til 2014 var Information and Privacy Commissioner i den canadiske provins Ontario. Konceptet blev formuleret i syv grundprincipper som eksempelvis, at ”privacy er embedded i designet, at ”privacy er default”, og at privacy ikke må betyde, at man giver køb på ”full functionality”. I dag er disse principper de facto-definitionen af PbD-konceptet (se faktaboks).

Teknisk implementering

Rent teknisk implementeres PbD gennem en lang rækker teknologier og udviklingsprincipper, der går under betegnelsen Privacy Enhancing Technologies. Det handler blandt andet om anonymisering, pseudonymisering, dataminimering, kryptering, Information Lifecycle Management og andet, der bevirker, at koblingen mellem en fysisk person og persondata ikke er umiddelbart tilgængelig, og at data ikke indsamles og opbevares, ud over hvad der er nødvendigt i forhold til den specifikke anvendelse.

– Meget af det, som rent teknisk understøtter PbD, er allerede kendte discipliner. Pointen er, at man skal huske at tænke dem ind fra starten af designprocessen, siger Gert Læssø Mikkelsen, der henviser til otte guidelines defineret af ENISA (European Network and Information Security Agency) som gode og operationelle i forhold til den tekniske implementering af PbD (se faktaboks).

Birgitte Kofod Olsen, partner i Carve Consulting og i bestyrelsen for ”tænkehandletanken” DataEthics, peger også på ENISA’s guidelines som en rigtigt god indgang til PbD.

– ENISA foreslår to tilgange til implementering af tekniske løsninger i forhold til beskyttelse af persondata – en dataorienteret strategi og en procesorienteret. I deres guidelines er der gode eksempler på, hvordan databeskyttelsen kan tænkes ind fra starten på en måde, der opfylder databeskyttelsesforordningens krav, og de burde efter min mening være standard-tjeklister for alle udviklere, siger hun.

Privacy by Policy ikke tilstrækkeligt

Ifølge databeskyttelsesforordningens artikel 25 om ”Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger” skal den dataansvarlige implementere ”passende tekniske og organisatoriske foranstaltninger”, der kan opfylde forordningens krav om beskyttelse af de registreredes persondata. Det er således ikke tilstrækkeligt at indføre procedurer og politikker i sin organisation til sikring af databeskyttelsen – såkaldt Privacy by Policy – der skal anvendes værktøjer fra teknikkassen.

– Der ligger to supplerende krav i forordningen: en organisatorisk og en teknisk. I praksis betyder det, at politikker og procedurer skal sætte rammen for, hvordan man arbejder med Privacy by Design og Privacy by Default, og at de tekniske løsninger skal være udviklet på en måde, så de i sig selv bidrager til, at databehandlingen foregår i overenstemmelse med principper som formålsbestemthed, nødvendighed, korrekthed og opbevaringsbegrænsning, forklarer Birgitte Kofod Olsen.

Ifølge Gert Læssø Mikkelsen har offentlige og private virksomheders tilgang til persondatabeskyttelse hidtil ligget mere inden for Privacy by Policy end Privacy by Design. Det håber han, at databeskyttelsesforordningen kan ændre på.

– Jeg håber, at den nye forordning kan fungere som en katalysator, der virkelig kan rette fokus på det her område og få både offentlige og private virksomheder til at tage det alvorligt. Vi har jo allerede lovkrav på det her område, men de bliver desværre ikke efterlevet i særligt høj grad, siger han.

Samme billede ser Birgitte Kofod Olsen:

– Det kan jo ikke udelukkes, at nogle virksomheder i praksis allerede har implementeret PbD for at leve op til den nuværende lovgivning, men det er ikke mit indtryk, at en sådan tilgang er særlig udbredt. I den nye forordning bliver det til gengæld et retligt krav, at man implementerer PbD, siger hun.

Eksisterende systemer

Der er i forordningen ikke noget krav om, at eksisterende systemer skal redesignes ud fra principperne i PbD. De eksisterende systemer skal dog kunne understøtte, at de øvrige bestemmelser i forordningen overholdes, og større ændringer i eksisterende løsninger kan udløse krav om PbD.

– Da meget af databehandlingen efter maj 2018 jo vil foregå på ”gammelt” udstyr, vil man skulle tjekke sine løsninger med henblik på at fastslå, om databehandlings- og sikkerhedskravene kan opfyldes. Og ved større ændringer af eksisterende løsninger og services eller indkøb af nye vil det være nødvendigt at forholde sig til behovet for PbD, siger Birgitte Kofod Olsen.

Gert Læssø Mikkelsen kan frygte, at det forhold kan få nogle virksomheder til at køre videre med ældre, halvdårlige systemer for at undgå at skulle investere i en PbD-implementering.

– Jeg synes faktisk ikke, at forordningens krav til PbD er så høje, at det kan bruges som en undskyldning for at undlade at udskifte ældre systemer, siger han.

I det hele taget mener han ikke, at PbD i sig selv kan betragtes som et fordyrende element.

– I starten er det selvfølgelig en investering, men dels vil den øgede sikkerhed kunne betyde besparelser i driften, dels vil det efterhånden forhåbentlig bliver indarbejdet som en fuldstændig naturlig og integreret del af systemudvikling, mener Gert Læssø Mikkelsen, som klart ser en rolle for de tekniske medarbejdere i forhold til PbD.

– Systemarkitekterne bør tænke PbD ind som en helt naturlig ting, og den enkelte udvikler skal også altid have det i baghovedet. Det er vigtigt, at udviklerne til hver en tid kan komme med indspark til, hvordan man sikrer databeskyttelsen med tekniske løsninger og ikke blot gennem politikker og procedurer, siger han.

Databeskyttelsesforordningen

  • Endelig vedtagelse i EU den 25. maj 2016. Træder i kraft i Danmark den 25. maj 2018.
  • Omtales ofte som GDPR (General Data Protection Regulation).
  • Ifølge indledningen til forordningen handler den om ”beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger”.
  • Ifølge indledningen er baggrunden for den nye forordning, at den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår beskyttelse af personoplysninger. Målet er at skabe en stærkere og mere sammenhængende databeskyttelse i EU, inklusive effektiv håndhævelse, for at skabe den tillid, der gør det muligt for den digitale økonomi at udvikle sig på det indre marked.
  • Da det er en forordning, har den umiddelbart retlig virkning i de enkelte EU-lande. Forordningen erstatter det hidtidige databeskyttelsesdirektiv, som i Danmark er udmøntet i persondataloven.
  • Der vil på en række områder være mulighed for at indføre nationale særregler. 
  • Nogle af de nye elementer i forordningen i forhold til eksisterende lovgivning :
    • Offentlige myndigheder og enkelte private virksomheder vil skulle udpege en såkaldt databeskyttelsesrådgiver eller Data Protection Officer (DPO). Databeskyttelsesrådgiveren skal understøtte, at den dataansvarlige overholder reglerne i forordningen.
    • Hvis der sker brud på sikkerheden, skal virksomheder og myndigheder indberette det til Datatilsynet. Der kan gives store bøder, hvis virksomhederne bryder reglerne – op til 4 procent af bruttoomsætningen for private virksomheder. 25. oktober 2017 fremsatte justitsminister Søren Pape Poulsen forslag om, at offentlige myndigheder skal kunne straffes med op til 4 procent af dritsbevillingen, dog maksimalt 16 millioner kroner.
    • Der er stærkt øgede krav til dokumentation eksempelvis i form af en DPIA (Data Privacy Impact Assessment), hvor  man skal beskrive, hvad virksomheden vil foretage sig, hvis der forekommer et sikkerhedsbrud. DPIA skal omfatte både konsekvenser for virksomheden samt konsekvenser for de personer, hvis data er kompromitteret.
    • Det vil være krav om Privacy by Design og Privacy by Default, når man designer nye it-løsninger. Det vil sige, at beskyttelsen af personoplysninger skal integreres i selve grunddesignet, og at beskyttelsen skal slåes til som standard.
  • Læs Datatilsynets generelle informationspjece her: www.datatilsynet.dk/fileadmin/user_upload/dokumenter/Publikationer/Captia_Generel_informationspjece__formateret___DOK446249_.pdf
  • Læs Datatilsynets vejledning om DPO-funktionen her: www.datatilsynet.dk/fileadmin/user_upload/dokumenter/Publikationer/Vejledning_DPO.pdf

Privacy Design Strategies (ENISA)

I rapporten ”Privacy and Data Protection by Design – from policy to engineering” fra ENISA (European Union Agency for Network and Information Security) beskrives otte designstrategier, der understøtter beskyttelse af persondata, og som kan anvendes som guidelines i udviklingsprocessen. I denne tabel er strategierne koblet til design patterns og til krav i databeskyttelsesforordningen (GDPR).

Tabel udarbejdet af Birgitte Kofod Olsen, partner i Carve Consulting, bestyrelsesmedlem i DataEthics

Strategierne beskrevet i rapporten tager afsæt i Jaap-Henk Hoepman. Privacy design strategies – (extended abstract). In ICT Systems Security and Privacy Protection - 29th IFIP TC 11 International Conference, SEC 2014, Marrakech, Morocco, June 2-4, 2014. Proceedings, pages 446–459, 2014.

Hele ENISA-rapporten kan downloades her:  www.enisa.europa.eu/publications/privacy-and-data-protection-by-design

Master-kurser i Privacy by Design

På Center for Communication, Media and Information Technologies (CMI), Aalborg Universitet, København, er Privacy by Design en integreret del af Masters-uddannelsen ”Master in Information and Communication Technologies (mICT)”. De tre moduler, hvor Privacy by Design bliver behandlet, tilbydes også som enkeltkurser:

  • Cybercrime and Information Security Law
  • Cyber Security and Trust
  • Identity and Access Management


Se mere på www.en.aau.dk/education/continuing-education/master/information-and-communication-technologies/

Privacy by Design-teknologier

Beskyttelse af persondata kan bygges ind i designet af en it-løsning ved hjælp af en lang række udviklingsprincipper og specifikke Privacy Enhancing Technologies (PET). Her nogle enkelte eksempler: 

  • Anonymisering: Konvertering af dele af data, således at de data, som kan henføres til en person, slettes eller gøres permanent ulæsbare; for eksempel gennem kryptering, hvor dekrypteringsnøglen slettes.
  • Pseudonymisering: Identificerende data erstattes af koder i kombination med en nøgle, således at data ikke kan henføres til en person uden anvendelse af nøglen, hvilket som nævnt i forordningen bidrager til at reducere risiko.
  • Kryptering: Kodning af data, således at data kun kan læses af den, som er besiddelse af nøglen.
  • Dataminimering: Anvendelse af persondata begrænses til, hvad der er nødvendigt i forhold til det specifikke formål.

Privacy by Design - De syv grundprincipper

Nedenstående syv grundprincipper blev udviklet i 1990’erne og publiceret i 2009 af Ann Cavoukian, der fra 1997 til 2014 var Information and Privacy Commissioner for the canadiske  provins Ontario. De syv principper var hendes bud på, hvad man på et overordnet plan skulle have for øje, hvis man håndterer persondata. I dag er disse principper de facto definitionen af Privacy by Design-konceptet. 

1. Proactive not Reactive; Preventative not Remedial

2. Privacy as the Default Setting

3. Privacy Embedded into Design

4. Full Functionality — Positive-Sum, not Zero-Sum

5. End-to-End Security — Full Lifecycle Protection

6. Visibility and Transparency — Keep it Open

7. Respect for User Privacy — Keep it User-Centric

Se dokumentet "Privacy by Design - The 7 Foundational Principles" (www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf) for forklaringer af de enkelte principper.

botMessage_toctoc_comments_9210