Sikkerhed og persondataforordningen (GDPR)

Persondataforordningen (GDPR) er en EU-forordning, som er sat i verden for at forbedre enkeltpersoners kontrol med deres personlige oplysninger. Den skal tilmed sørge for harmonisering af datalovene i de europæiske lande og dermed sikre, at de er i overensstemmelser med den teknologiske standard i den digitale tidsalder. Den erstatter dermed Persondataloven i Danmark. Det tvinger mange virksomheder til at indtænke datasikkerhed i deres løsninger og måske endda udvikle nye løsninger eller tilkøbe software for bedre at kunne håndtere behandlingen af personlige oplysninger.

Eksempelvis skal nye programmer designes efter de nye rettighederne, forbrugerne har fået i persondataforordningen. I EU's forordning kaldes dette princip privacy by design.

Privacy by design 

Persondataforordningen understreger, at man altid bør tage state-of-the-art datasikkerhedsløsninger i betragtning, når man eksempelvis vælger et IT-system. Det specificeres ikke, hvad det betyder, or den slags ændrer sig naturligvis løbende. Der er altså ikke noget facit, hvorfor du heller ikke kan blive certificeret som en dataetisk eller datasikker virksomhed som sådan. Der er dog en række elementer, som i en given tid vil blive regnet for at være standard.
‍
Persondataforordningen introducerer begrebet Privacy by design (databeskyttelse gennem design). Det er et princip, der tvinger virksomheder til at indtænke datasikkerhed i design- og udviklingsfasen ved udviklingen af IT-systemer og programmer. Altså skal databeskyttelse indbygges i nye processers arkitektur helt fra starten. Det kan eksempelvis være ved at udvikle et lønsystem, der automatisk sletter forældede data efter en given dato, eller et program som Contractbook, hvor man altid kan tilgå sine oplysninger direkte. Her kan retten til at blive glemt og retten til indsigt eksempelvis indbygges direkte i systemets design og arkitektur. Men selvom man har et system, som automatisk sletter data ifølge ens slettepolitik, skal man tjekke op på at det rent faktisk er sket.
‍
Man finder også begrebet Privacy by Default (databeskyttelse gennem standardindstillinger) i persondataforordningen (GDPR). Det betyder, at programmerne udvikles og designes til kun at behandle persondata, som er nødvendig for at udføre det enkelte formål, og kun i det tidsrum, det er nødvendigt. Igen kunne det være at udvikle et system, der ikke indsamler oplysninger om køn og alder, hvis det ikke er nødvendigt for at systemet kan udføre sin givne opgave. Et system skal altså kun indsamle oplysninger der er "need-to-have" og ikke "nice-to-have".

Sikkerhed i persondataforordningen

Da alt i realiteten kan hackes, bør man holde databehandling på et minimum. Men bør altså sørge for, så vidt muligt, kun at opbevare og behandle data, der tjener et formål. Hermed tager man også så få risici som muligt.
‍
Fysisk opbevarede data skal være låst inde, og bør ikke ligger fremme. Altså fordrer persondataforordningen digitalisering og en clean desk policy. Gmail og USB-nøgler bør være krypterede og pseudonymisering samt kryptering anbefales, om end det ikke er et krav. Logning kan være en god idé, da man på den måde kan finde ud af, hvem der har set hvad, og om der eventuelt har været et brud på datasikkerheden.

Procedure for brud på datasikkerheden

Persondataforordningen gør det klart, at tilsynsmyndigheden (i Danmark er det Datatilsynet) skal underrettes senest 72 timer efter opdagelsen af et brud på datasikkerheden. Det samme skal personen, som oplysningerne drejer sig om. Man er dog undtaget, hvis der ikke er nogen risiko involveret (eksempelvis hvis oplysningerne kun har været tilgængelige i få sekunder på en hjemmeside, ingen har set dem og de ikke er blevet fanget af søgemaskinerne). Man skal dog altid føre en intern log over databrud.
‍
Hvis sikkerhedsbruddet involverer høj risiko for rettighedsbrud, skal anmeldelsen gives uden forsinkelse. Det er ledelsen i en virksomhed, der har ansvaret for, at man har udviklet en korrekt procedure i tilfælde af brud på datasikkerheden.