Lektor skyder KL-kritik ned og forsvarer GDPR-bøder
Indførslen af GDPR og de dertilhørende bøder har betydet, at der er blevet noget længere imellem de alvorlige sager om persondatasjusk i kommunerne. Bøderne har nemlig fået dem til at tage deres rolle som dataansvarlige alvorligt, mener Ayo Næsborg-Andersen, der er lektor i persondataret og menneskerettigheder.
»Det kan godt være, at de burde være drevet af et abstrakt incitament og tillid, men det kræver jo også, at man sætter pengene af til det i budgettet. Det har man ikke gjort før, men det gør de i langt højere grad nu efter der er kommet bøder,« siger Ayo Næsborg-Andersen.
- emailE-mail
- linkKopier link

- Sortér efter chevron_right
- Trådet debat
Jeg har flere gange være til møder, hvor det er blevet forklaret, at enten har store dele af verden allerede implementeret noget, som ligner GRPR eller også er de i gang med det.
Det er ligesom med menneskerettigheder, de kan være besværlige, men de beskytter borgerne. Det samme gør GDPR.
Godt eksempel med for at køre +100 km/t og ikke blot advarsler i sådanne situationer.
- more_vert
- insert_linkKopier link
Eller som en anden (der arbejdede med et statsligt system) rendte ind i: Krav fra juristerne om at de ikke i test måtte bruge cpr-numre der matchede en borger. De havde i testen genereret tilfældige 10-cifrede tal til brug med øvrige, syntetiske data; enkelte af numrene var tilfældigvis gyldige cpr-numre (men altså syntetiske; ikke anonymiserede endsige rigtige).
Engang fandtes der en håndfuld personnumre, der med garanti ikke matchede en borger, de pegede på fiktive personer i cpr. Men de må heller ikke bruges i dag (så vidt jeg har fået at vide).
Hvis man nu SKAL bruge rigtigt udseende numre (altså ikke erstatningsnumre), der med garanti ikke matcher nogen, hvordan tester man så, at de ikke matcher - uden at prøve på at matche? Hvordan tester man kommunikation med cpr? Der er ting, der er umuligt svære at håndtere (heldigvis har jeg ikke længere noget med personnumre).
- more_vert
- insert_linkKopier link
så længe de ikke falder tilbage på ministerier, politikere, embedsværk og andre vigtige områder hvor de er ubelejlige.
Gudskelov for det etablerede demokrati der i alle tilfælde tilgodeser borgernes interesser.
- more_vert
- insert_linkKopier link
Når det er besværligt at indføre noget, så er det også fordi at lovgiverne har besluttet, at det her vil de gerne have hånd i hanke med.
Det kunne også være at det var meget svært for politikerne/lovgiver at argumentere for at der ikke skulle være lighed mellem private og offentlige virksomheder.
- more_vert
- insert_linkKopier link
Så dokumenterer GDPR hvad som virker og hvad som ikke virker.
Påbud virker ikke, det gør bøder.
Så ikke mere af det som ikke virker, men mere af det som virker!
- more_vert
- insert_linkKopier link
Artiklen skriver at i praksis får de påbud først, undtagen for eklatante brud hvor der sker læk. Og jeg er enig med Ayo Næsborg-Andersen.
Men med hensyn til at forstå: Det ikke juristerne, men udviklere der laver systemerne og implementerer GDPR-reglerne. Og ja, de skal spørge deres juridisk ansvarlige. Men cirkulært skal de indse at det er nødvendigt at spørge.
Fx implicerer GDPR åbenbart at audit-log skal kunne sige hvilken knap en bruger har trykket på for at hente følsomme data. Personligt troede jeg det var nok at kunne sige de havde hentet de pågældende data (og hvornår og fra hvilket system og ...). Bl.a. fordi jeg ikke kan indse hvordan man teknisk kan garantere at brugeren selv eller en hacker ikke har fusket med webapplikationens kommunikation og skiftet et knapnavn ud med et andet, og hvad er loggen så værd til hvilket formål? Men hvis juristerne siger reglerne er sådan at det skal logges, så gør vi det.
Eller som en anden (der arbejdede med et statsligt system) rendte ind i: Krav fra juristerne om at de ikke i test måtte bruge cpr-numre der matchede en borger. De havde i testen genereret tilfældige 10-cifrede tal til brug med øvrige, syntetiske data; enkelte af numrene var tilfældigvis gyldige cpr-numre (men altså syntetiske; ikke anonymiserede endsige rigtige).
Jeg ville meget nødigt som udvikler blive mødt med millionkrav i sådanne situationer. Bemærk at eksemplerne stammer fra virkelige situationer hvor man har gjort sit bedste og faktisk opdaget juristernes indvendinger. Men de er så yderlige, at man spekulerer på hvor mange andre, tilsvarende eksempler der ligger uopdagede hen.
- more_vert
- insert_linkKopier link
Når jeg kommer fræsende ad landevejen med 100+km/t, og bliver taget i en landsby, så vil jeg også klart foretrække at få et påbud inden jeg får en bøde og inddraget kørekortet.
Alle de der maerkelige trafikskilte, som ingen forstår og ingen kan forklare, gør det jo svært at køre lovligt.
- more_vert
- insert_linkKopier link
De forstår sikkert teksten udemærket. Men det er ligesom kemikaliefabrikker i 50'erne der bare dumper alt deres skidt i naturen. Det var både dyrt og en hemsko da man skulle skaffe sig af med det på forsvarlig vis. Sådan har man det rigtigt mange steder med GDPR. Det er bare noget unødvendigt bøvl som gør deres arbejde dyrere og mere besværligt.
- more_vert
- insert_linkKopier link
"Problemet opstår, når man kan blive slået oven i hovedet for ikke at overholde regler, som ingen forstår og ingen kan forklare"
Kan det være rigtigt, at en del mennesker har læst og godkendt disse relger, og så fremstår de samme regler som "uforståelige" hos jurister i en eller et par dansk(e) kommune(r). Jeg er ikke helt sikker på, om dette ikke er en overspringshandling, for at undgå bøder, når de samme kommuner ikke gider eller orker at gøre deres borgerdata sikre!!!!
- more_vert
- insert_linkKopier link