Det seneste halve år har jeg i samarbejde med PwC skrevet speciale om, hvordan danske virksomheder bruger Privacy by Design.
Konklusionen er, at modenhedsniveauet er meget lavt og at der er mange virksomheder, som ikke har styr på, hvad Privacy by Design er.
Konceptet går overordnet ud på, at virksomheder skal sikre, at systemer og processor passer på brugernes personlige data fra begyndelsen til de nedlægges. Det er vigtigt – ikke kun hvis man vil overholde persondataforordningen, men også hvis man vil forebygge eventuelle privacy-skandaler med efterfølgende tillidstab.
Der er mange misforståelse og fortolkninger af, hvad Privacy by Design er. Jeg har mødt tre myter i det danske erhvervsliv, som viser at mange helt grundlæggende ikke ved, hvad Privacy by Design går ud på:
Myte #1: Privacy by Design skal kun bruges i starten af en designproces
Mange tror fejlagtigt, at kravet om Privacy by Design kan klares ved at indføre et tjek-ark i starten af design-processen, hvor en medarbejder specificerer, hvad der skal bruges af persondata og hvorfor.
Men Privacy by Design skal også bruges, når systemet eller processen skal testes, implementeres, bruges eller nedlægges.
Det handler om at sikre brugernes personlige data gennem hele levetiden. Nye teknologier eller måder at bruge et system på kan nemlig skabe nye risici, ligesom ubeskyttede test på reelle data kan skabe unødige risici.
Det betyder, at Privacy by Design ikke bare er noget, som en virksomhed kan blive færdig med. Det er en konstant proces, og virksomhederne bliver nødt til at have procedurer for, hvordan man vil gøre det løbende for at sikre, at Privacy by Design ikke bliver glemt med tiden.
Myte #2: Hvis du køber it-løsningen, står leverandøren for Privacy by Design
”Det er vores leverandører, som står for designet,” er en af de forklaringer, jeg oftest har hørt på, hvorfor en virksomhed endnu ikke har valgt at arbejde med Privacy by Design.
Det er åbenbart en udbredt myte, at virksomheder slipper for at arbejde med konceptet, hvis de som mange danske virksomheder køber en del af deres it-løsninger hos en leverandør.
Rent lovmæssigt er der intet, der fritager virksomheder fra at benytte Privacy by Design, hvis it-løsningen er købt fra en leverandør.
Selvom almindelig leverandørstyring og en veludført databehandleraftale bliver en central del af Privacy by Design, hvis man vælger at købe en it-løsning, er det ikke alt.
Som virksomhed bør man stadig tage stilling til for eksempel, hvordan man internt vil benytte systemet, hvordan man vil kontrollere, om dataene bliver brugt korrekt, og om dataene bør benyttes i en pseudonymiseret eller anonymiseret udgave.
Med andre ord er det virksomhedens ansvar, at de processer, der omgiver it-løsningen, også beskytter de personlige data.
Derudover ser det ud til, at virksomheder løber en stor risiko, hvis de ikke tager stilling til, hvor gode deres leverandører er til at passe på deres data.
Erhvervs- og Vækstministeriets Virksomhedsråd for it-sikkerhed har for nyligt konkluderet, at modenheden blandt it-leverandører er lav. Det så vi blandt andet i år, da over 90.000 personlige informationer om jobansøgere til en større dansk virksomhed blev offentligt tilgængeligt, fordi en leverandør havde begået en fejl.
Der er altså god grund til at være skeptisk overfor nuværende og fremtidige leverandører. Det bedste råd er at sørge for at have en ordentlig databehandleraftale og eventuelt en revisorerklæring på, at leverandørerne kan finde ud af at passe ordenligt på kundernes og medarbejdernes data.
Myte #3: Privacy by Design er kun en juridisk og organisatorisk øvelse
At leve fuldt op til EU’s Persondataforordning kræver en teknologisk dybde. Det gælder også Privacy by Design.
En af de helt centrale dele af Privacy by Design i forordningen er dataminimering. Overordnet set går det ud på, at man kun skal samle og bruge den personlige data, der skal til for at opnå et bestemt formål.
Man skal undersøge, om man ved hjælp af forskellige teknologier kan nedbringe mængden af personlige informationer.
En udbredt metode er pseudonymisering eller anonymisering. Hvis man skal bruge dem korrekt kræver det dog, at man går i dybden med, hvordan data bliver pseudonymiseret eller anonymiseret effektivt. Og det er ikke nemt.
Flere studier peger på, at det måske er umuligt at anonymisere data effektivt. Virksomheder skal derfor ikke kun forstå og bruge begreberne rigtigt, det er vigtigt at deres it følger med.
Det står i skarp kontrast til at kun 28,1 rocent af danske virksomheder ifølge en rapport fra Devoteam forventer at skulle investere i nye it-løsninger for at håndtere forordningen.
Det er ikke kun dataminimering, der kræver en teknologisk dybde. Privacy by Design kræver også, at der er ordentlig it-sikkerhed, hvor almindelig identitetsstyring vil være en nødvendighed for at kunne kontrollere, om data bliver tilgået af de rigtige medarbejdere og afslører eventuelle brud i procedurer.
Så hvad er Privacy by Design?
Selvom det måske kan være let af afvise konkrete misforståelser og myter om Privacy by Design, er det ikke nødvendigvis let at komme med en konkret opskrift på, hvad Privacy by Design helt nøjagtigt indebærer.
Det kommer nemlig an på virksomheden, typer af data og den specifikke funktion, som løsningen skal klare.
Men det bør indebære et konstant fokus på at beskytte og begrænse mængden af persondata gennem hele løsningens levetid. Et fokus, der kræver både teknologiske, juridiske og organisatoriske kompetencer.
Om under et år skal alle virksomheder, der håndterer persondata om europæiske borgere, have styr på, hvad Privacy by Design indebærer for dem.
Baseret på det sidste halve års studier skal mange virksomheder indlede en massiv slutspurt, hvis de effektivt skal få afkræfte myterne om Privacy by Design og begynde at arbejde konkret og konstruktivt med konceptet.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.