Datatilsynets holdning til de nye regler om privatlivets fred og datasikkerhed rammer lige ned i det værdisæt, som vi har i GovernIT: Samarbejde og god IT-ledelse. Det var oplevelsen, da vi begge var på Computerworlds konference om GDPR her tre måneder efter reglerne blev indført den 25. maj i år.
Alvorlige overtrædelser af datasikkerheden bliver naturligvis straffet, men det centrale budskab fra konferencen var, at Datatilsynet primært ser det som sin rolle at være rådgiver, der hjælper virksomhederne med at få styr på datasikkerheden.
God datasikkerhed er god IT-ledelse, eller god IT-governance som vi kalder det i GovernIT. Og det handler netop om klare regler og godt samarbejde.
Eksempelvis nævnte jurist og IT-sikkerhedsekspert fra Datatilsynet Allan Frank problemerne med at slette data fra backup. Udfordringen er at sikre, at data der skal slettes, ikke bliver genskabt, når man indlæser en backup.
At begynde at slette i en sikkerhedskopi er risikabelt og teknisk kompliceret. Det kan have store konsekvenser for backup’ens integritet og andres persondatarettigheder.
– Man må ikke krænke andres rettigheder for at slette én bestemt rettighedshaver. I stedet skal man have en stringent restore-procedure, når man genindlæser en sikkerhedskopi, foreslog Allan Frank på konferencen.
Det er den slags brugelige løsninger i hverdagen, som vi værdsætter. Det betyder naturligvis ikke, at reglerne skal omgås eller bøjes. Men vi skal finde løsninger, der kan fungere i hverdagen. GDPR er nødvendig og kommet for at blive: Alle virksomheder skal have styr på sine data, det er en væsentlig del af at drive en ordentlig virksomhed.
På konferencen blev det også nævnt, at det skal være muligt at svare nej til den kendte cookie-advarsel på hjemmesider. At der skal være såkaldt frit samtykke. Det betyder, at hvis brugeren svarer nej, så gælder nej’et og så skal der ikke allerede være gemt en cookie. Kagebageriet må først gå i gang efter brugerens accept.
Har I styr på det?
