Smertensbørnene lige nu hedder sletning og samtykke. Foto: Getty Images
Smertensbørnene hedder Sletning og Samtykke
GDPR har sat fokus på datasikkerheden, men mange organisationer er stadig udfordrede.
- 14. september 2018
- Digitalisering
- Dataetik
- Big Data & Disruption
Per Roholt
Om Per Roholt
Siden jeg afsluttede min uddannelse som journalist fra Danmarks Journalisthøjskole i 1986, har jeg erhvervet mig en bred erfaring med forretningsudvikling, kommunikation og marketing, samt organisation og ledelse på både strategisk og operationelt niveau i privat og offentligt regi.
Jeg arbejder for EG, det offentlige Danmarks mest værdifulde samarbejdspartner, fordi vi tager medansvar for at udvikle den offentlige velfærd gennem digitalisering.
Som redaktør for SamfundsDesign er jeg altid på udkig efter spændende, vedkommende relevante historier om digitalisering af det offentlige Danmark. Så kontakt mig, hvis du sammen med os vil være med til at forankre den digitale forandring, der skal sikre velfærdssamfundet – og når vores børn bliver forældre.
Kontakt og følg Per Roholt
- Email: peroh@eg.dk
Udvalgte artikler
Alle vil gerne sikre borgernes og forbrugernes personoplysninger, men det er svært. Meget svært. Her og nu er to af de største risikoområder, for de offentlige virksomheder smertensbørnene, sletning og samtykke.
Det mener CISO og CPO ved Brødrene A&O Johansen A/S Henning Mortensen, der samtidig er formand for Rådet for Digital Sikkerhed.
- Især sletning er et vanskeligt område, for det er vanvittigt svært at lave en fornuftig slettepolitik, mener Henning Mortensen, der forklarer det med udgangspunkt i to typer data: strukturerede og ikke-strukturerede data.
To slags data – to slags udfordringer
De strukturerede data, som kendes fra ERP- og CRM-systemer, er kendetegnet ved, at det er rimeligt klart, hvad der står i de enkelte felter, fx navn, adresse og telefonnummer.
- Der kan selvfølgelig også være et fritekstfelt, hvor en eller anden har skrevet, at borgeren er en idiot, eller at kunden har fået kræft og derfor ikke kan betale sin regning inden for betalingsfristen. Vi ved dog, hvor sådanne oplysninger står, siger Henning Mortensen og fortsætter:
- Derfor burde det være relativt enkelt at lave en slettepolitik, der fastlægger, hvad der automatisk skal slettes og hvornår.
Alligevel er det mere kompliceret end som så at arbejde med sletning og en slettepolitik.
Fx kan man være nødt til at tage stilling til, hvornår en ordre eller en faktura skal slettes. Ordren skal formodentlig slettes betydeligt hurtigere end fakturaen. Man kan også vurdere, hvor længe man tror, at en kunde finder det rimeligt, at man opbevarer en ordre og en faktura.
Når et dokument ikke længere tjener noget formål, skal det principielt slettes. Her kan man eventuelt ty til bogføringsloven, der kræver, at et regnskab med dokumentation skal gemmes i mindst fem år – altså at ordren slettes, men at fakturaen gemmes. Der kan dog også være særlige omstændigheder, der gør, at data skal gemmes længere – fx hvis anden lovgivning spiller ind.
- Derfor kan det være svært at sætte helt enkle sletteregler op. Ofte er man nødt til at definere reglerne konkret i forhold til de enkelte typer af data, forklarer Henning Mortensen, om det første af smertensbørnene, sletning.
Læs mere: Fem rigtig dårlige sikkerhedsvaner
Sletning af e-mails
Rigtig svær bliver en slettepolitik imidlertid, når man arbejder med ustrukturerede data, mener Henning Mortensen:
- Et godt eksempel er sletnng af e-mails. Rigtig mange medarbejdere i både det offentlige og det private gemmer på deres e-mails med dokumenter og har gjort det i årevis.
Ofte er de mange e-mails bare fulgt med, og it-afdelingerne har købt mere og billigere lagerplads, så der ikke har været behov for at slette e-mails. I sidste ende har det været billigere at gemme end at slette e-mails, hvilket ikke er rimeligt. Hvem tænker på, hvad der ligger under slettede e-mails i en papirkurv, der aldrig er blevet tømt?
De mange e-mails indeholder ofte et hav af følsomme personoplysninger, lige fra e-mails om navngivne kollegers private forhold til gamle jobansøgninger, sygemeldinger m.m.
- Fordi der aldrig har været en effektiv procedure for sletning og en slettepolitik, har data hobet sig op. Når man så vil introducere en slettepolitik, støder det ofte på modstand hos medarbejderne, der ikke frivilligt afgiver deres mange e-mails. Nogle finder endda på at flytte deres gamle e-mails til en lagerplads på nettet, når de bliver bedt om at slette dem.
Her er det fortsat en gigantisk udfordring med sletning for både offentlige og private virksomheder at få regler og procedurer på plads, samtidig med at kulturen for sletning af emails på arbejdspladsen skal bearbejdes og ofte ændres, mener Henning Mortensen:
- Alle arbejder lige nu i denne retning, men vi har at gøre med en tung arv af gamle data, der hænger som en klods om benet på de fleste organisationer.
Læs artikel: GDPR: Har du styr på dine medarbejderdata?
Cookies og samtykke mangler lovgrundlag
Den anden store udfordring i forbindelse med efterlevelse af GDPR-reglerne er ifølge sikkerhedsekspert Henning Mortensen lige nu reglerne for cookies og samtykke.
- Alle offentlige og private organisationer er vilde med at indsamle alle mulige former for data via cookies om de borgere eller kunder, der besøger deres hjemmeside.
De mange data anvendes i deres egne analytics-programmer og deles lystigt med tredjepartsleverandører. Det er data om alt muligt, lige fra hvad du læser, og hvor langt ned på siden du læser, til om du vender tilbage til siden flere gange og meget, meget andet.
Og efterfølgende bliver data fra de mange cookies brugt:
- De fleste kender det fra de kommercielle hjemmesider, hvor man kan blive forfulgt af et par sko eller en boremaskine i månedsvis på fx mediernes hjemmesider, hvis man har søgt efter dem på en hjemmeside.
Det gør det selvfølgelig let for konen at se, hvad man ønsker sig i julegave, men det er ikke rimeligt. De færreste forventer trods alt at blive forfulgt af et par sandaler ned ad Strøget, blot fordi man har været inde i en skobutik og set på varerne.
Meget tankevækkende viser en undersøgelse, som Radius har foretaget for Microsoft om samtykke og cookies, at godt 60 % af danskerne enten har lavt, meget lavt eller slet intet kendskab til, hvilke data der bliver indsamlet om dem via samtykke og cookies.
Læs mere: JUC's kursus "Cybersikkerhed"
E-privacy-direktivet halter
Problemet med cookies og samtykke i denne sammenhæng er, at det såkaldte e-privacy-direktiv endnu ikke er blevet opdateret.
- Direktivet skulle have været opdateret, samtidig med at GDPR trådte i kraft den 25. maj 2018. Derfor befinder vi os reelt i et digitalt limbo, idet hverken Erhvervsstyrelsen eller Datastyrelsen endnu har besluttet, hvor grænserne skal gå, fordi retsgrundlaget ikke er på plads.
Frygten er at komme til at gøre reglerne skrappere i Danmark end i resten af de lande, som vi konkurrerer med, og dermed stille danske virksomheder ringere i konkurrencen.
I praksis er det meget svært for både organisationer og virksomheder at leve op til kravene om cookies og samtykke lige nu, når reglerne ikke er meldt ud, siger Henning Mortensen, der dog mener, at de bedste virksomheder er godt i gang med at løse opgaven, så godt de kan:
- Et godt eksempel på, hvordan man kan løse opgaven, kan man finde på Politikens hjemmeside, der på forbilledlig vis har gjort det nemt at se, hvad man har givet samtykke til, og hvordan man kan tilbagekalde sit samtykke.
Det er sagt til inspiration for både offentlige og private virksomheder. Jeg er rimeligt sikker på, at Politikens fremgangsmåde er lovlig – men vi har som sagt ikke set reglerne endnu, siger Henning Mortensen.
Læs artikel: Sikkerhedsforanstaltninger – i henhold til databeskyttelsesforordningen
Læs artikel: Nye cookieregler på vej i sneglefart: Kæmpe lobbyapparat arbejder mod ændringer
Læs mere: Send personfølsomme data sikkert pr. e-mail
