Dansk it-politik, It og samfund, It sikkerhed og kryptering, Open Source, Software

Privacy by Design passer offentlig leverandør

Databeskyttelsesforordningens krav om Privacy by Design passer fint ind i udviklingsmodellen hos udviklingshuset Magenta. De øgede krav til dokumentationen bliver den største udfordring.

Anne Dorte Bach har siden august 2016 været projektleder og DPO (Data Protection Officer) hos Magenta, som udvikler it-løsninger, der er baseret på open source, og som også bliver frigivet på open source-licenser. Virksomheden har i alt 28 medarbejdere fordelt på afdelinger i Aarhus og København og har de senere år fået foden godt ind på det offentlige it-marked.

– Vores vurdering er, at vi egentlig ikke er forpligtet til at have en DPO-funktion, men vi har valgt at indføre den, da vi ønsker at have fuld fokus på databeskyttelse i vores arbejde, siger hun.

Virksomheden er i øjeblikket i fuld gang med implementere de nødvendige tiltag for at kunne leve op til den nye databeskyttelsesforordning. Der bliver i udstrakt grad anvendt kryptering i Magentas løsninger, men virksomheden har ikke en egentlig standard for, hvad der præcist skal krypteres.

– Vi udvikler meget forskellige løsninger, så vi tager stilling til krypteringen ud fra en risikovurdering i forhold til de specifikke leverancer, siger Anne Dorte Bach.

Retten til at blive slettet

Der er også meget fokus på, at løsningerne reelt understøtter retten til at blive slettet. Udviklerne er i gang med at trawle de eksisterende løsninger igennem for at sikre, at data ikke blot bliver markeret som slettet, men rent faktisk kan blive slettet helt, såfremt det er nødvendigt. Databeskyttelsesforordningen lægger ikke op til, at eksisterende systemer skal redesignes ud fra en Privacy by Design-tilgang, men Magenta har i samarbejde med sine kunder valgt at gøre det i flere tilfælde.

– Vores systemer er 100 procent open source, så vi ejer dem jo ikke – vi udvikler og vedligeholder dem. Så vi gennemgår først systemerne internt og snakker derefter med kunderne for at høre, om det kunne give mening at opdatere systemerne med de elementer, der understøtter effektiv databeskyttelse, forklarer Anne Dorte Bach.

Selve grunddesignet af løsningerne, herunder dataminimering, bliver også taget op.

– Vi diskuterer typisk med kunderne, hvilke data det rent faktisk er nødvendigt at indsamle til det specifikke formål, siger hun.

Som databehandler er Magentas rolle som udgangspunkt ret teknisk, men hvor det er relevant, forsøger man også at komme med forslag til kunderne om organisatoriske tiltag, der kunne understøtte bedre databeskyttelse, for eksempel med hensyn til sletning af data.

Intern vidensdeling

Magenta arbejder løbende med at udbrede viden om databeskyttelsesforordningen internt blandt udviklere og projektfolk. Det bliver blandt andet gjort i forbindelse med udviklerdage, hvor databeskyttelse inklusive beredskabsplaner bliver faste punkter. Det vil også blive indarbejdet i de tjeklister, man benytter ved projektopstart.

– Vores held er, at vi er en lille virksomhed, hvor den interne kommunikation om de her emner er hurtig og nem, siger Anne Dorte Bach.

Lille skærpelse

Selvom den 25. maj 2018 er sat som deadline for at leve op til den nye forordning, ser hun arbejdet med databeskyttelse som løbende arbejde, der også vil fortsætte ud over den dato.

– Arbejdet med databeskyttelsesforordningen passer meget fint ind i det, vi i forvejen laver, så vi er ikke på den måde oppe at køre over deadlinen den 25. maj. På den anden side er forordningen sammen med deadlinen en god katalysator og en god mulighed for at få ryddet op der, hvor det måtte være nødvendigt, siger Anne Dorte Bach, som også gerne vil mane til besindelse i forhold til den nye forordning.

– Ret beset er databeskyttelsesforordningen en relativt lille skærpelse af den eksisterende lovgivning, så jeg synes heller ikke, man skal gøre det til mere, end det er. Man skal også være opmærksom på, at det potentielt er lidt af en pengemaskine for it-firmaer og konsulenter, siger hun

Dokumentationen den største udfordring

Anne Dorte Bach tilføjer, at risikoen for store bøder selvfølgelig er et væsentligt nyt element, men den største udfordring ligger et andet sted.

– Den største udfordring for en virksomhed som vores bliver højst sandsynligt, at man nu på et hvilket som helst tidspunkt skal kunne dokumentere i detaljer, hvordan man håndterer databeskyttelsen i løsningerne, siger hun.