GDPR: Hvad er databeskyttelse gennem design?

Hvad er databeskyttelse gennem design?

Forestil dig, at du i et it-system med kundedata har et fritekstfelt – altså et felt, hvor man kan skrive kommentarer. Kollegerne har gennem årene skrevet alle mulige mærlige ting i dette felt:

• “Kunden har ikke modtaget betaling fra sin kunde og vi har derfor givet 14 dages ekstra kredit”
• ”Kunden er en kværulant, der brokker sig over alt og er desuden uforskammet overfor sælgerne”
• ”Kunden går til kræftbehandling og har derfor ikke mulighed for at betale og har fået en måneds ekstra kredit”
• ”Kunden, der nu hedder Bent, hed tidligere Lise”
• ”Kunden har fået 14 dages henstand fordi han pt. afsoner 3 måneders straf for vold”
• ”Kunden har været i RKI 2 gange i 2005, tre gange i 2008 og fire gange i 2017 og har desuden ingen friværdi i sit hus”

De fleste af disse oplysninger vil det ikke være lovligt at opbevare i et kundesystem – alligevel er det et faktum, at mange systemer indeholder sådanne informationer.

Man kan fremadrettet løse dette problem ved at ændre designet af sit system, således at fritekstfeltet erstattes af et rullegardin, hvor man definerer, hvilke rimelige forhold, der kan fyldes ind i feltet. Det kunne f.eks. være: Automatisk dato + Automatiske brugerinitialer +

• Kunden har fået 14 dages ekstra henstand til betalinger
• Kunden har skiftet kontaktperson
• Kunden er vurderet til ikke at være kreditværdig
• Andre forhold, som der er en lovlig og saglig grund til at registrere

Ovenstående er et eksempel på databeskyttelse gennem design. Man ændrer designet af sine it-systemer fra at have et fritekstfelt til et rullegardin, så man sikrer, at der ikke fremadrettet indtastes ulovlige eller usaglige oplysninger. Når man skal vurdere, hvad det er rimeligt at udfylde i rullegardinet, kan man tænke over, hvilke data og oplysninger man reelt har brug for at behandle, og hvad man synes det ville være rimeligt at registrere, hvis det var en selv, der blev omtalt i et sådant system.

Designbegrebet for databeskyttelse er bredt

Designbegrebet skal forstås meget bredt, men designet skal understøtte hele forordningen. En af de gængse definitioner på design er, at "Design is how it works".
Man skal i designet af sin løsning således tænke ind, at den efterlever reglerne for databeskyttelse ud fra de grundlæggende principper om blandt andet dataminimering og efterlevelse af regler for opbevaringsperioden. Desuden skal løsningen understøtte alle de garantier, som gives de registrerede i forordningen. Det kan f.eks. være sletning fra mail-lister, hvis samtykke trækkes tilbage, eller opfyldelse af oplysningspligten på et relevant tidspunkt, inden oplysninger indsamles og behandles.

Designkravet er noget andet end sikkerhedskravet, på trods af, at der i begge sammenhænge tales om foranstaltninger. Sikkerhedsmæssige foranstaltninger er lavet for at understøtte sikkerheden for de registreredes data. Designforanstaltningerne er lavet for at sikre understøttelse af forordningen i bred forstand. Men man kan naturligvis også designe sikkerhedsforanstaltninger ind i sine løsninger. Det vil f.eks. være tilfældet, hvis man designer krypteret lagring ind i et system.

Databeskyttelse gennem design i praksis: 7 principper

Der er ikke meget hjælp at hente i forordningen, når det drejer sig om at forstå indholdet af begrebet. Der nævnes faktisk kun pseudonymisering som konkret eksempel. Databeskyttelse gennem design stammer fra Ann Cavokian, der var chef for det canadiske datatilsyn tilbage i slutningen af 90’erne. Hun har om nogen været forkvinde for at få begrebet udbredt. Ved at se på Cavoukians definition af begrebet kan man få et godt fortolkningsbidrag til at forstå, hvad man skal lægge i det. Begrebet er konkretiseret i syv principper, som kan operationaliseres teknologisk:

• Proaktiv, ikke reaktiv
  Foranstaltninger skal altså iværksættes inden en risiko materialiserer sig.
• Privacy som standardindstilling 
  Den registrerede skal ikke selv foretage sig noget for at beskytte sine oplysninger; beskyttelsen skal være slået til fra starten.
• Privacy skal være indlejret i systemet 
  Foranstaltningerne skal designes ind i et systems arkitektur og ikke tilføjes efterfølgende
• Der skal være fuld funktionalitet 
  Der skal være både fuld funktionalitet og fuld sikkerhed, og der må således ikke være en modstrid mellem sikkerhed og databeskyttelse. 
• Beskyttelse i hele livscyklussen 
  Beskyttelsen skal indbygges i designfasen, inden systemet sættes i drift, og være aktiv i hele systemets levetid. 
• Transparens 
  Der skal være gennemsigtighed i forretningsmodeller og teknologier, og det der signaleres, skal kunne verificeres (af en uafhængig tredjepart).
• Respekt for privatlivet 
  Det er vigtigt at have fokus på den registrerede og derved have høje privatlivsstandarder, så man sikrer brugervenlige notifikationer og indstillinger 

Forordningen lader det dog være op til den dataansvarlige at vurdere, om det er netop disse syv principper, man vil lægge ind i sit design. Forordningen refererer således ikke direkte til Cavoukians principper, om end man direkte har indarbejdet ”by default” princippet i lovgivningen. Man ville som alternativ kunne anvende Hoepmanns designstrategier eller noget man opfinder selv. Der overlades dermed et betydeligt skøn til den dataansvarlige.

Rådet for Digital Sikkerhed har lavet en casesamling om databeskyttelse gennem design, som kan findes på Rådets hjemmeside. Desuden har forfatteren af denne artikel skrevet en artikel til Revision og Regnskabsvæsen, som uddyber emnet yderligere. Endelig uddyber Datatilsynet begrebet i deres sikkerheds- og designvejledning. Der er links til alle disse kilder nedenfor.

Links

Henning Mortensens R&R-artikel:
https://www.karnovgroup.dk/artikler/rr-12-2017-databeskyttelse

Cavokians syv designprincipper:
https://iab.org/wp-content/IAB-uploads/2011/03/fred_carter.pdf

Hoepmanns design strategier:
https://www.cs.ru.nl/~jhh/publications/pdp.pdf