Søg

Ny persondata-lov bliver en alvorlig udfordring: Tre udbredte myter om Privacy by Design i danske virksomheder

Klumme: Mange danske virksomheder arbejder endnu ikke med Privacy by Design eller databeskyttelse gennem design, som det hedder i EU’s persondataforordning. En del af dem, der gør, sikrer ikke en passende teknisk implementering. Derfor må mange virksomheder løbe hurtigt, hvis de på under et år skal leve op til persondataforordningen.

21. juli 2017 kl. 11.01
Artikel top billede

(Foto: © EC /)

Nathalie Stender Nathalie Stender Specialepraktikant hos PwC

Det seneste halve år har jeg i samarbejde med PwC skrevet speciale om, hvordan danske virksomheder bruger Privacy by Design.

Konklusionen er, at modenhedsniveauet er meget lavt og at der er mange virksomheder, som ikke har styr på, hvad Privacy by Design er.

Konceptet går overordnet ud på, at virksomheder skal sikre, at systemer og processor passer på brugernes personlige data fra begyndelsen til de nedlægges. Det er vigtigt – ikke kun hvis man vil overholde persondataforordningen, men også hvis man vil forebygge eventuelle privacy-skandaler med efterfølgende tillidstab.

Der er mange misforståelse og fortolkninger af, hvad Privacy by Design er. Jeg har mødt tre myter i det danske erhvervsliv, som viser at mange helt grundlæggende ikke ved, hvad Privacy by Design går ud på:

Myte #1: Privacy by Design skal kun bruges i starten af en designproces

Mange tror fejlagtigt, at kravet om Privacy by Design kan klares ved at indføre et tjek-ark i starten af design-processen, hvor en medarbejder specificerer, hvad der skal bruges af persondata og hvorfor.

Men Privacy by Design skal også bruges, når systemet eller processen skal testes, implementeres, bruges eller nedlægges.

Det handler om at sikre brugernes personlige data gennem hele levetiden. Nye teknologier eller måder at bruge et system på kan nemlig skabe nye risici, ligesom ubeskyttede test på reelle data kan skabe unødige risici.

Det betyder, at Privacy by Design ikke bare er noget, som en virksomhed kan blive færdig med. Det er en konstant proces, og virksomhederne bliver nødt til at have procedurer for, hvordan man vil gøre det løbende for at sikre, at Privacy by Design ikke bliver glemt med tiden.

Myte #2: Hvis du køber it-løsningen, står leverandøren for Privacy by Design

”Det er vores leverandører, som står for designet,” er en af de forklaringer, jeg oftest har hørt på, hvorfor en virksomhed endnu ikke har valgt at arbejde med Privacy by Design.

Det er åbenbart en udbredt myte, at virksomheder slipper for at arbejde med konceptet, hvis de som mange danske virksomheder køber en del af deres it-løsninger hos en leverandør.

Rent lovmæssigt er der intet, der fritager virksomheder fra at benytte Privacy by Design, hvis it-løsningen er købt fra en leverandør.

Selvom almindelig leverandørstyring og en veludført databehandleraftale bliver en central del af Privacy by Design, hvis man vælger at købe en it-løsning, er det ikke alt.

Som virksomhed bør man stadig tage stilling til for eksempel, hvordan man internt vil benytte systemet, hvordan man vil kontrollere, om dataene bliver brugt korrekt, og om dataene bør benyttes i en pseudonymiseret eller anonymiseret udgave.

Med andre ord er det virksomhedens ansvar, at de processer, der omgiver it-løsningen, også beskytter de personlige data.

Derudover ser det ud til, at virksomheder løber en stor risiko, hvis de ikke tager stilling til, hvor gode deres leverandører er til at passe på deres data.

Erhvervs- og Vækstministeriets Virksomhedsråd for it-sikkerhed har for nyligt konkluderet, at modenheden blandt it-leverandører er lav. Det så vi blandt andet i år, da over 90.000 personlige informationer om jobansøgere til en større dansk virksomhed blev offentligt tilgængeligt, fordi en leverandør havde begået en fejl.

Der er altså god grund til at være skeptisk overfor nuværende og fremtidige leverandører. Det bedste råd er at sørge for at have en ordentlig databehandleraftale og eventuelt en revisorerklæring på, at leverandørerne kan finde ud af at passe ordenligt på kundernes og medarbejdernes data.

Myte #3: Privacy by Design er kun en juridisk og organisatorisk øvelse

At leve fuldt op til EU’s Persondataforordning kræver en teknologisk dybde. Det gælder også Privacy by Design.

En af de helt centrale dele af Privacy by Design i forordningen er dataminimering. Overordnet set går det ud på, at man kun skal samle og bruge den personlige data, der skal til for at opnå et bestemt formål.

Man skal undersøge, om man ved hjælp af forskellige teknologier kan nedbringe mængden af personlige informationer.

En udbredt metode er pseudonymisering eller anonymisering. Hvis man skal bruge dem korrekt kræver det dog, at man går i dybden med, hvordan data bliver pseudonymiseret eller anonymiseret effektivt. Og det er ikke nemt.

Flere studier peger på, at det måske er umuligt at anonymisere data effektivt. Virksomheder skal derfor ikke kun forstå og bruge begreberne rigtigt, det er vigtigt at deres it følger med.

Det står i skarp kontrast til at kun 28,1 rocent af danske virksomheder ifølge en rapport fra Devoteam forventer at skulle investere i nye it-løsninger for at håndtere forordningen.

Det er ikke kun dataminimering, der kræver en teknologisk dybde. Privacy by Design kræver også, at der er ordentlig it-sikkerhed, hvor almindelig identitetsstyring vil være en nødvendighed for at kunne kontrollere, om data bliver tilgået af de rigtige medarbejdere og afslører eventuelle brud i procedurer.

Så hvad er Privacy by Design?

Selvom det måske kan være let af afvise konkrete misforståelser og myter om Privacy by Design, er det ikke nødvendigvis let at komme med en konkret opskrift på, hvad Privacy by Design helt nøjagtigt indebærer.

Det kommer nemlig an på virksomheden, typer af data og den specifikke funktion, som løsningen skal klare.

Men det bør indebære et konstant fokus på at beskytte og begrænse mængden af persondata gennem hele løsningens levetid. Et fokus, der kræver både teknologiske, juridiske og organisatoriske kompetencer.

Om under et år skal alle virksomheder, der håndterer persondata om europæiske borgere, have styr på, hvad Privacy by Design indebærer for dem.

Baseret på det sidste halve års studier skal mange virksomheder indlede en massiv slutspurt, hvis de effektivt skal få afkræfte myterne om Privacy by Design og begynde at arbejde konkret og konstruktivt med konceptet.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Netcompany A/S

    Operations Engineer til drift af infrastruktur

    Københavnsområdet

    Netcompany A/S

    Test Consultant

    Midtjylland

    Netcompany A/S

    Linux Operations Engineer

    Midtjylland

    Politiets Efterretningstjeneste

    Er du vores næste IT-Specialist til Center for CNE-Operationer?

    Københavnsområdet

    Se flere it-stillinger
    SAP Excellence Day 2026

    Event: SAP Excellence Day 2026

    It-løsninger | Nordhavn

    Få konkrete erfaringer med S/4HANA, automatisering og AI i praksis. Hør hvordan danske virksomheder realiserer gevinster og etablerer effektive SAP-løsninger. Vælg fysisk deltagelse hos SAP eller deltag digitalt.

    24. februar 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. november 2025 ansat Kristian Kveiborg Yde som BI-konsulent ved netIP's kontor i Thisted. Han er uddannet med en Cand.merc. i økonomistyring. Nyt job

    Kristian Kveiborg Yde

    Netip A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Thea Scheuer Gregersen som Finace accountant. Hun skal især beskæftige sig med håndteringer af bl.a. bogføring og finansiel rapportering på tværs af selskaberne. Hun er uddannet Bachelor´s degree i Business Administration & Economics og en Master of Sustainable Business degree. Nyt job

    Thea Scheuer Gregersen

    Norriq Danmark A/S

    Industriens Pension har pr. 3. november 2025 ansat Morten Plannthin Lund, 55 år, som it-driftschef. Han skal især beskæftige sig med it-drift, it-support og samarbejde med outsourcingleverandører. Han kommer fra en stilling som Head of Nordic Operations Center hos Nexi Group. Han er uddannet HD, Business Management på Copenhagen Business School. Han har tidligere beskæftiget sig med kritisk it-infrastruktur og strategiske it-projekter. Nyt job

    Morten Plannthin Lund

    Industriens Pension

    IT Confidence A/S har pr. 1. oktober 2025 ansat Henrik Thøgersen som it-konsulent med fokus på salg. Han skal især beskæftige sig med rådgivende salg, account management og udvikling af kundeporteføljer på tværs af it-drift, sikkerhed og cloud-løsninger. Han kommer fra en stilling som freelancer i eget firma og client manager hos IT Relation og IT-Afdelingen A/S. Han er uddannet elektromekaniker. Han har tidligere beskæftiget sig med salg af it-løsninger, account management, it-drift og rådgivning samt undervisning og ledelse. Nyt job

    Henrik Thøgersen

    IT Confidence A/S

    Se mere fra navnenyt

    Mest læste

    1 Overrasker i test: Lille tysk pc-producent leverer en af julens bedste billige laptops
    2 Mainframe-fejl forårsager flere timers nedbrud i landets banker
    3 Styrelse siger farvel til Microsoft-programmer: 15.000 ansatte skal på open source
    4 Kinesisk skærmproducent er først med skærm-revolution
    5 It-pioner følger debatten om digital suverænitet fra sit plejehjem: "Os der har kæmpet for open source, har haft ret hele tiden"
    6 Selskabet bag Roomba-robotstøvsugeren begæret konkurs
    7 Netcompany vinder kæmpeprojekt til 800 millioner kroner
    8 Stor bilforhandler med 350 ansatte i Danmark ramt af cyberangreb: Tyder på, at hackere fik adgang til data

    Se seneste uge