Databeskyttelse gennem design og standardindstillinger

SecurityByDesign - Colorbox

Databeskyttelsen er stadig primært dataejerens og den dataansvarliges ansvar, men omfatter naturligvis også databehandlere, når fx en leverandør udvikler, servicerer eller drifter et it-system.

Da EU i maj 2016 vedtog nye regler for it-sikkerhed i form af den såkaldte EU persondatabeskyttelsesforordning, blev kravene strammet væsentligt i forhold til Persondataloven fra år 2000.

En af stramningerne er artikel 25. stk. 1, der stiller krav om "Data Protection by Design/by Default".

Det betyder kort sagt, at fx kommunens it-leverandør skal tænke persondatabeskyttelse ind i hele processen, lige fra design til implementering hos kunden. Desuden skal leverandørens interne forretningsprocesser indrettes, så de fremmer persondatabeskyttelse.

Behov for tættere dialog
Kravet om datasikkerhed både i design og gennem standardindstillinger kræver et øget samarbejde mellem dataejer og it-leverandørerne:  

"Databeskyttelsen er stadig primært dataejerens og den dataansvarliges ansvar, men omfatter naturligvis også databehandlere, når fx en leverandør udvikler, servicerer eller drifter et it-system.

I praksis sker den egentlige fastsættelse af kravene til et givet system derfor bedst i et samarbejde mellem den dataansvarlige og leverandøren. Fremover ser jeg derfor et behov for, at vi - ud over at have styr på egne processer -  også er i et løbende samarbejde med kommunerne for at sikre den fælles sikkerhed", forklarer Christian Aagaard, der er CISO/Business Controller i EG A/S. 

"Kravene til implementering af passende tekniske og organisatoriske beskyttelsesforanstaltninger på niveau med EU-persondatabeskyttelsesforordningens krav er i mange tilfælde allerede sket i lyset af Persondataloven. Nu kræves der blot konkrete analyser og konsekvensvurderinger", vurderer Christian Aagaard. 

Artikel 25/Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
Stk. 1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

Justitsministeriet udlagde teksten
Netop databeskyttelse gennem design og gennem standardindstillinger var i fokus, da Justitsministeriet den 7. februar 2017 holdt stormøde om databeskyttelsesforordningen.

Efter mødet publicerede Justitsministeriet deres udlægning af bestemmelserne i en Q/A.

Her fremgår det, at kravet om databeskyttelse gennem design, som fremgår af den nye forordnings artikel 25, stk. 1, ikke er en forpligtigelse til noget bestemt. Det er derimod en generel overvejelsesforpligtelse og en håndteringsforpligtelse for den dataansvarliges virksomhed til i forberedelsesfasen at overveje, hvilke foranstaltninger, der skal håndteres ved en behandling af personoplysninger for at efterleve databeskyttelsesretten. Bestemmelsen indebærer også, at  fremtidige it-systemer skal designes med henblik på effektiv implementering af databeskyttelsesprincipper – fx dataminimering

 Intet krav om redesign
Der er i forordningen ikke et krav om, at eksisterende systemer skal redesignes. Men større ændringer i eksisterende systemer kan kræve tilpasninger. Disse tilpasninger kan dog også ske i form af organisatoriske foranstaltninger, hvis man på den måde kan etablere et passende sikkerhedsniveau for behandlingen af personoplysninger. 

Fremtidige systemers standardindstillinger skal til gengæld indstilles, så de fremmer dataminimering og formålsspecifik behandling. Hvis man har et eksisterende it-systemer hvor standardindstillingerne ikke kan ændres, er der ingen nye krav til it-systemet pr. den 25. maj 2018. 

Hvis man derimod har et eksisterende it-systemer, hvor standardindstillingerne kan ændres, så er virksomheden pr. den 25. maj 2018 forpligtet til at ændre systemets standardindstillinger på en måde, der understøtter forordningens krav om bl.a. formålsspecifik behandling. 

"Set fra en it-leverandørs side må man konstatere, at grundmantraet er beskyttelse af den registreredes rettigheder, herunder at it-brugerne kun må have adgang ud fra et arbejdsrelateret behov. En sådan styring kan blive meget rigid. Fx kan det betyde, at en sagsbehandler skal tildeles ad hoc adgang kun for den pågældende sag og ikke for alle borgere i et givet sagssystem. Så der ligger stadig et stykke arbejde foran os med at få omsat de nye regler til en praksis, der kan leve op til lovens krav og gøre det muligt for fx offentligt ansatte at udføre deres arbejde", tilføjer Christian Aagaard. 

Bliv klog på databeskyttelsesreglerne
EU's nye databeskyttelsesregler er officielt bekendtgjort i EU-Tidende. Den generelle databeskyttelsesforordning har nummer 2016/679. Forordningen gælder umiddelbart i hver medlemsstat. Den anvendes fra den 25. maj 2018. 

Følg med i sidste nyt om Persondataforordningen på  Artikel 29-gruppens hjemmeside eller Læs også Dansk ITs anbefalinger.

Annonce