Dagens ret: Designbøffer

I anledning af, at Datatilsynet har givet LB Forsikring alvorlig kritik for ikke at overholde princippet, skal dette indlæg handle om GDPRs definition af “Privacy by Design”:

Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

GDPR Artikel 25, stk. 1

Udover at selve sproget i denne artikel vitterlig er ret besynderligt, selv for GDPR – ikke mindst den mærkelige opremsning med to gange “såsom” – er det værd at bemærke, at artiklens helt centrale, operationelle vendinger, “aktuelle tekniske niveau” og “passende foranstaltninger”, er mildt sagt abstrakte.

Hvad er aktuelt? Hvad er passende? Hvem bestemmer det?

Hertil kommer det mere filosofiske spørgsmål: Hvorfor skal lovgiverne overhovedet blande sig i processen hvormed en løsning designes, og hvilke tanker folk gør sig “på tidspunktet for fastlæggelse af midlerne til behandling” – hvis bare den endelig løsning overholder reglerne?

I sin essens siger artiklen reelt, at man skal overholde alle de forudgående og efterfølgende regler, når man bygger IT-løsninger – hvilket gør det svært at se artiklen som andet end et udtryk for, at lovgiverne grundlæggende mangler tillid til de IT-folk, de godt ved i sidste ende skal implementere lovgivningen i noget kode.

I 90’erne, længe før GDPR, udformede den canadiske Ann Cavoukian sine berømte 7 principper for Privacy by Design. Som principper betragtet er de ærlig talt ikke særlig stringente, men de giver dog væsentligt mere kød på betegnelsen end GDPRs halvhjertede forsøg.

Og så til afgørelsen vedr. LB Forsikring:

Ved udvikling af en portalløsning som LB Forsikring A/S’ arkiveringssystem, hvor der skal gives adgang til opbevarede dokumenter med personoplysninger i, er det ikke i overensstemmelse med det aktuelle tekniske niveau, hvis et maildomæne alene tillægges vægt i henhold til, hvilke dokumenter der gives adgang til. Herudover vil det være en del af det aktuelle tekniske niveau, at den dataansvarlige indbygger opfølgende kontroller, der sikrer, at en sådan automatisk proces alene giver den korrekte adgang.

Datatilsynets afgørelse vedr. LB Forsikring

Her giver Datatilsynet os jo syn for sagn: Brug af maildomæne som adgangskontrol er ikke ok ift. det aktuelle tekniske niveau.

Men så melder spørgsmålet sig jo: Har det nogensinde været ok? Var der et tidspunkt i historien, hvor det ville have været en god løsning og i overensstemmelse med det aktuelle tekniske niveau at bygge et IT-system, der brugte maildomæne som adgangskontrol? Næppe.

Det er simpelthen bare en designbøf. Det svarer til at bygge et system, der registrerer kundens CPR-nummer, selvom man i processen kun har brug for fødselsdatoen. Eller at et systems datamodel designes sådan, at der ikke kan bo to forskellige personer med samme navn på samme adresse. Det er “bare” klodset design. Og det sker hele tiden for alle mulige aspekter af IT-systemer. Forskellen er bare, at når det gælder privacy, så har vi med GDPR en lov, der eksplicit (omend lidt kluntet) beordrer os til at tænke os om, når vi bygger IT-systemer.

Det er vist bare det, “aktuelle tekniske niveau” og “passende foranstaltninger” betyder. Og den konkrete sag viser måske meget godt, hvorfor lovgiverne manglede tillid til IT-folk, da de i sin tid tilføjede artikel 25 😉.

Tak, i øvrigt, til https://mahler.io/ for idéen til at skrive om afgørelsen.