Lektor skyder KL-kritik ned og forsvarer GDPR-bøder

Jeg har flere gange være til møder, hvor det er blevet forklaret, at enten har store dele af verden allerede implementeret noget, som ligner GRPR eller også er de i gang med det.

Det er ligesom med menneskerettigheder, de kan være besværlige, men de beskytter borgerne. Det samme gør GDPR.

Godt eksempel med for at køre +100 km/t og ikke blot advarsler i sådanne situationer.

Eller som en anden (der arbejdede med et statsligt system) rendte ind i: Krav fra juristerne om at de ikke i test måtte bruge cpr-numre der matchede en borger. De havde i testen genereret tilfældige 10-cifrede tal til brug med øvrige, syntetiske data; enkelte af numrene var tilfældigvis gyldige cpr-numre (men altså syntetiske; ikke anonymiserede endsige rigtige).

Hvis man nu SKAL bruge rigtigt udseende numre (altså ikke erstatningsnumre), der med garanti ikke matcher nogen, hvordan tester man så, at de ikke matcher - uden at prøve på at matche? Hvordan tester man kommunikation med cpr? Der er ting, der er umuligt svære at håndtere (heldigvis har jeg ikke længere noget med personnumre).

så længe de ikke falder tilbage på ministerier, politikere, embedsværk og andre vigtige områder hvor de er ubelejlige.

Gudskelov for det etablerede demokrati der i alle tilfælde tilgodeser borgernes interesser.

Når det er besværligt at indføre noget, så er det også fordi at lovgiverne har besluttet, at det her vil de gerne have hånd i hanke med.

Det kunne også være at det var meget svært for politikerne/lovgiver at argumentere for at der ikke skulle være lighed mellem private og offentlige virksomheder.

Så dokumenterer GDPR hvad som virker og hvad som ikke virker.

Påbud virker ikke, det gør bøder.

Så ikke mere af det som ikke virker, men mere af det som virker!

Artiklen skriver at i praksis får de påbud først, undtagen for eklatante brud hvor der sker læk. Og jeg er enig med Ayo Næsborg-Andersen.

Men med hensyn til at forstå: Det ikke juristerne, men udviklere der laver systemerne og implementerer GDPR-reglerne. Og ja, de skal spørge deres juridisk ansvarlige. Men cirkulært skal de indse at det er nødvendigt at spørge.

Fx implicerer GDPR åbenbart at audit-log skal kunne sige hvilken knap en bruger har trykket på for at hente følsomme data. Personligt troede jeg det var nok at kunne sige de havde hentet de pågældende data (og hvornår og fra hvilket system og ...). Bl.a. fordi jeg ikke kan indse hvordan man teknisk kan garantere at brugeren selv eller en hacker ikke har fusket med webapplikationens kommunikation og skiftet et knapnavn ud med et andet, og hvad er loggen så værd til hvilket formål? Men hvis juristerne siger reglerne er sådan at det skal logges, så gør vi det.

Eller som en anden (der arbejdede med et statsligt system) rendte ind i: Krav fra juristerne om at de ikke i test måtte bruge cpr-numre der matchede en borger. De havde i testen genereret tilfældige 10-cifrede tal til brug med øvrige, syntetiske data; enkelte af numrene var tilfældigvis gyldige cpr-numre (men altså syntetiske; ikke anonymiserede endsige rigtige).

Jeg ville meget nødigt som udvikler blive mødt med millionkrav i sådanne situationer. Bemærk at eksemplerne stammer fra virkelige situationer hvor man har gjort sit bedste og faktisk opdaget juristernes indvendinger. Men de er så yderlige, at man spekulerer på hvor mange andre, tilsvarende eksempler der ligger uopdagede hen.

Når jeg kommer fræsende ad landevejen med 100+km/t, og bliver taget i en landsby, så vil jeg også klart foretrække at få et påbud inden jeg får en bøde og inddraget kørekortet.

Alle de der maerkelige trafikskilte, som ingen forstår og ingen kan forklare, gør det jo svært at køre lovligt.

De forstår sikkert teksten udemærket. Men det er ligesom kemikaliefabrikker i 50'erne der bare dumper alt deres skidt i naturen. Det var både dyrt og en hemsko da man skulle skaffe sig af med det på forsvarlig vis. Sådan har man det rigtigt mange steder med GDPR. Det er bare noget unødvendigt bøvl som gør deres arbejde dyrere og mere besværligt.

"Problemet opstår, når man kan blive slået oven i hovedet for ikke at overholde regler, som ingen forstår og ingen kan forklare"

Kan det være rigtigt, at en del mennesker har læst og godkendt disse relger, og så fremstår de samme regler som "uforståelige" hos jurister i en eller et par dansk(e) kommune(r). Jeg er ikke helt sikker på, om dette ikke er en overspringshandling, for at undgå bøder, når de samme kommuner ikke gider eller orker at gøre deres borgerdata sikre!!!!