Softwarefirma om GDPR: Vi skal finde på workarounds for at opfylde reglerne

Illustration: jozefmicic/Bigstock
Der mangler forståelse for, hvordan reglerne i Persondataforordningen fungerer i praksis, mener CEO.

Det er omkring halvandet år siden den første henvendelse tikkede ind med det korte, men alt andet end simple spørgsmål: Hvordan forholder I jer til GDPR?

Intempus er en fem år gammel virksomhed, der laver software til timeregistrering. Den mindste kunde er en enmandsvirksomhed. Den største har 300 medarbejdere.

Og i takt med at deadline for Databeskyttelsesforordningen nærmer sig, er interessen for, hvad der sker med kundernes data steget markant.

Læs også: Cloud-løsninger giver nordisk mediehus udfordringer med GDPR

»Der er nogle af de større virksomheder, der kommer og beder om databehandleraftale. De har tydeligvis lige være på kursus, og nu beder de alle leverandører om en databehandleraftale,« siger Christophe Zafiryadis, CEO i den 20 mand høje virksomhed.

»De små virksomheder har vi ikke hørt fra. Selvom reglerne jo gælder dem alle sammen,« fortsætter han.

Og således også for Intempus, der ser GDPR-opgaven som delt i to: som databehandler for kunder, og som dataejer, når det kommer til egne data på fx medarbejdere, hvor selskabet selv skal ud og indhente databehandleraftaler.

»Som alle moderne it-virksomheder bruger vi jo sindsygt mange værktøjer, der kan gøre os klogere. For eksempel bruger vi Leadfeeder til at finde ud af, hvem der besøger vores hjemmesider. Og det bliver igen personhenførbare data, som vi opbevarer, og som vi skal forholde os til,« siger Christophe Zafiryadis og tilføjer:

»Hele den mølle skal vi kortlægge. Vi er kommet langt, men vi har meget arbejde foran os.«

Savner forståelse for virkeligheden

Frem mod forordningens deadline den 25. maj vil Intempus opdatere systemets betingelser, som alle kunder på ny skal godkende. Betingelserne skal også liste, hvordan selskabet behandler data. Der skal selskabets advokat på banen for at blåstemple, at det arbejde, Intempus har udført, er godt nok.

Det er nemlig ikke lige ud af landevejen at føre reglerne ud af lovbøgerne og ind i den tekniske virkelighed, forklarer Christophe Zafiryadis.

»Jeg tror ikke, man har tænkt meget over, hvad de her regler betyder i praksis.«

Et eksempel på det er, at hvis en kunde siger til Intempus, at de gerne vil have slettet en medarbejder fra systemet. Den manøvre er i sig selv problemfri. Men Intempus’ system sender data over til kundens regnskabssystem, hvor der er statistik på fx hvad de enkelte projekter har tjent ind. Og den historik skal ikke forsvinde, så der kan medarbejderen ikke slettes.

»Og det betyder at den medarbejder kommer tilbage i vores system, når de synkroniserer data,« forklarer Christophe Zafiryadis.

Læs også: GDPR nærmer sig: Danske virksomheder er stadig på glatis

I stedet for at slette medarbejderen, og ødelægge kundens statistik, kan Intempus gøre medarbejderen anonym, og fjerne navn og medarbejdernummer. Men i mange gamle systemer, som Intempus’ system integrerer med, er medarbejdernummeret brugt som primær nøgle i databasen.

»På den måde er vi nødt til at beholde medarbejdernummeret, selvom det egentlig er personhenførbart,« siger Christophe Zafiryadis og fortsætter:

»Så her savner jeg altså lidt forståelse for virkeligheden. Jeg er rimelig sikker på, der sidder mange virksomheder som os, som skal finde på workarounds for at kunne opfylde kravene«

Konsulent eller ej

Trods udfordringerne, understreger Christophe Zafiryadis, at forordningen og dens krav giver mening. Det er fornuftigt, at loven giver bedre muligheder for at holde Google og Facebook i ørene. Men der er stor forskel på konsekvenserne af loven, hvis du er en lille softwarevirksomhed, eller hvis du er en multinational gigant med en hær af jurister.

»Vi kunne vælge at bruge en masse penge på at hyre et konsulent-bureau til at lave en analyse af vores virksomhed. Så er vi sikret, men det koster måske 100.000,« forklarer Christophe Zafiryadis og fortsætter:

»De penge vil vi hellere bruge på at lave nye features til vores kunder, som er det vi lever af. Så i stedet har vi valgt at kaste os ud i det selv.«

Læs også: Dansk forskning: Ny software skal sikre, at sensorer ikke bliver et GDPR-problem

Til formålet har Intempus udpeget en intern DPO, der har ansvar for at kortlægge processer, og sætte sig ind i alle de regler, GDPR rummer. Og finde svar på spørgsmål som hvordan man sletter en medarbejder, hvordan lønsedler opbevares og hvem der har adgang til dem.

»Det er det vi er i gang med nu, og det bliver godt, når vi er igennem. Men det er dyrt i tid.«

Mener I generelt, at man kan klare det her uden assistance fra konsulenter?

»Det er meget forskelligt fra virksomhed til virksomhed. En normal lille håndværksvirksomhed er jo underlagt de samme regler, hvor de skal have styr på alle de her medarbejderdata. Og det er der nok mange små virksomheder, der ikke har kompetencer til at overskue de her krav.«

Tryghed for kunden

Gevinsten ved arbejdet er mest af alt, at kunne give kunderne tryghed, siger Christophe Zafiryadis

»Vi kan sige til vores kunder, at vi har styr på de her regler og vi overholder dem. Og jeg kan også se, at mange af vores partnere reklamere med, at de er klar til GDPR.«

Læs også: Esbjerg tog konsekvens af datarod: Regelmotor finder følsomme filer og løbske CPR-numre

Er der ting, I havde designet anderledes, hvis I havde kendt til reglerne fra starten?

»Helt sikkert. For fremtiden vil vi tænke på en anden måde, når vi bygger en integration til et system, fordi vi skal have det her i mente. Så er der nogle helt andre måder man kunne tænke det på,« siger Christophe Zafiryadis og tilføjer:

»Men vi kan jo heller ikke bygge systemet helt om. Så har vi jo tabt års arbejde.««

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Læser jeg det forkert, hvis jeg opsummerer artiklens synspunkter som: "Ubelejligt og voldsomt besværligt på bagkant, men - i det store og hele -rimeligt og fornuftigt, dog med visse skønhedspletter"?

Med det forbehold at jeg ikke har læst direktivet i detaljer, og heller ikke har evnerne til at kunne se alle finurlighederne, så er mit indtryk nu, at den væsentligste ændring i forhold til den for nuværende eksisterende tilstand er, at der nu er reelle muligheder for håndhævelse og konsekvens.

Og derfor synes jeg ofte at det kommer til at lyde som en husejer, der får pålæg om at lovliggøre en garage: "Nu hvor det er bygget, så bliver det voldsomt dyrt, penge som jeg kunne have brugt til at forskønne forhaven til glæde for alle; hvor skulle jeg vide fra, at der er brandregler, og så farligt er det jo heller ikke, for jeg er en ansvarlig ejer, som passer på hele tiden".

Bevares, det GDPR er næppe helt fri for underligheder - lytter man den lange samtale som Aflyttet for nyligt havde med Max Schrems, så gav ham også udtryk for samme fornemmelse - og andet ville også være overraskende. Og mon ikke nogle af de steder, hvor erfaringerne om alt for kreativ fortolkninger har gjort nødvendigt at tingene må skæres ud i pap, kan virke noget firkantede.

Personligt er jeg meget mere skeptisk overfor den danske tradition for særegne fortolkninger, som virker til at dække over at man er grundlæggende uenig i formålet.

Kigger man på det såkaldte cookie-direktiv så var det i bund og grund ganske fornuftigt, men fik en grænsende til absurd dansk fortolkning og tilsvarende mangel på vejledning og håndhævelse (hvad da medførte at det i praksis blev virkningsløst og irriterende).

Det virker på mig mest som et trodsigt barn, der har fået besked på at rydde gulvet og smide affald ud, og så i arrigskab går i gang med at smide vasketøjet i skraldespanden ... se bare, hvor tåbelige dine regler er!

Så ja, det vil være besværligt at rette op på det, som har fået lov til udvikle sig i nærmest fri leg, men det er ikke urimeligt at forlange at tingene gøres ordentligt. Og ja, det findes givetvis hjørner som er besværlige uden at de gør en reel forskel, men det er ikke grund til blankt at afvise det hele. Og så hold for øje, at den danske fortolkning kan være skyldig, inden man skyder med skarpt på direktivet og EU.

  • 9
  • 3
Mark Klitgaard
  • 6
  • 2
Bjarne Nielsen

Bortset fra i dette tilfælde er garagen bygget lovligt indtil GDPR reglerne.

Der er forskelle, men det er nu mit indtryk, at det i det store og hele er de samme principper, som er gældende i dag, og at den store forskel er, at det nu kan have mærkbare konsekvenser.

Så mange "garager" er i dag ikke bygget lovligt, den store forskel er, at der nu kan falde bøder. Om kommunen så rent faktisk begynder at komme ud og kigge efter, det må fremtiden vise; for ellers er det hele jo lidt lige meget.

  • 6
  • 2
Walther Diechmann

Nu er skibet jo sejlet - og alle vore intentioner, bagklogskab, "trodsigt barnlige indvendinger" eller hvad reaktionerne ellers kan (mis)karakteriseres som, er spildte Guds ord på balle-Lars: GDPR er sat i sten, skødet er skrevet, og bøderne vil uden tvivl komme til at stå i danske virksomheders navn!

Men! Det ændrer ikke ved det forhold, at der i det konkrete eksempel med GDPR er sket præcis det samme, som der er sket i en uendelig række af tidligere situationer (og jeg skal indledningsvist beklage lejlighedsvise aforismer og det metafysiske sprog): personer/virksomheder har forslugt sig i skålen med liberalisme, og da "fodermesteren" ser den stakkels beagle ligge der livløs og stopfuld, erkender hen at noget må gøres. Og så er det at "overgrebet" sker, for i sin iver efter at stoppe 20-30 unge i at gå med vandrekæppe, nissekostume, eller hvad den konkrete anledning nu er, vælter embedsværket en sammensurium-dej af catch-22's op, som politikerne ikke har tid til at gennemtænke, endsige forholde sig til (for de er 'på' i 21:30'eren lige om lidt, og skal først "i sminken"), med det resultat at ellers velmenende borgere/virksomheder, som aldrig kunne drømme om at misbruge endsige har tid til at sidde og lede efter slibrige detaljer i Remee's tidsregistrering, Ida Aukens OneDrive, og Burhan G's Evernote, sammen med 98% andre velmenende skal udrede i 10.000-vis af kroner/EUR til opformeringen af hver deres papirtiger - samtidig med at de kan se lille yndige Vera på 17 (som hele GDPR'et egentlig er tiltænkt som et slags digitalt kondom) fuld og fredig deler sine yndigheder i Sunny Beach med hvem der ellers orker at høvle gennem 100.000 narcissistiske opdateringer på Instagram mfl.

Amen ;)

  • 4
  • 1
Mark Klitgaard

Der er forskelle, men det er nu mit indtryk, at det i det store og hele er de samme principper, som er gældende i dag, og at den store forskel er, at det nu kan have mærkbare konsekvenser.

Det er nu også meget stor forskel på principper og hvad der er decideret ulovligt/lovligt, hvilket fører mig tilbage til "garagen er bygget lovligt indtil GDPR reglerne."

Personligt kan jeg sagtens se fidusen i GDPR, men savner noget mere konkret at arbejde udfra, f.eks. hvordan man kan håndtere at slette/anonymisere data ift. backups.

  • 3
  • 0
Claus Bobjerg Juul

»Helt sikkert. For fremtiden vil vi tænke på en anden måde, når vi bygger en integration til et system, fordi vi skal have det her i mente. Så er der nogle helt andre måder man kunne tænke det på,«

Dejligt at høre, det betyder jo at i bare har valgt den lette løsning tidligere, hvilket mange andre også har, hvilket bringer mig til:

en kunde siger til Intempus, at de gerne vil have slettet en medarbejder fra systemet. Men Intempus’ system sender data over til kundens regnskabssystem, Og den historik skal ikke forsvinde, så der kan medarbejderen ikke slettes.

Hvorfor vedligeholder i en seperat database med personer i ? Hvorfor ikke bare slå op i regnskabssystemet? Så skal i "bare" gemme tidsregistreringer med en nøgle til regnskabssystemet. Det øjeblik medarbejderen ikke længere er der kan tidsregisteringerne slettes i jeres system men opretholde anonym statistik i regnskabssystemet.

  • 0
  • 2
Henning Wangerin

en kunde siger til Intempus, at de gerne vil have slettet en medarbejder fra systemet. Men Intempus’ system sender data over til kundens regnskabssystem, Og den historik skal ikke forsvinde, så der kan medarbejderen ikke slettes.

Når I sender data til kundens regnskabssystem, vil der jo blot være data som kunden ikke får mere når han beder om at I sletter det.

Det kan jo ikke være anderledes. Eller er problemet at der også hentes data hos kunden? Så er det vel "blot" et spørgsmål om at I checker om en bruger er oprettet hos jer når I henter data. Alternativt at der hos kunden et et interface som filtrerer de uønskede data fra inden I i det hele taget overfører dem.

  • 2
  • 0
Knud Larsen

Husk lige at det kan være lovgivningen træder sig selv over tæerne.

Skat vil jo f.eks. stille krav om data 5-10 år tilbage afhængig af om påstanden lyder på uforsætligt eller forsætligt forkert udført.
Der bør nok udarbejdes nogle cases så det bliver lettere og muligt for almindelig menenesker.

  • 2
  • 0
Christian Nobel

Med det forbehold at jeg ikke har læst direktivet i detaljer,

Det er en forordning, ikke et direktiv.

Men der bringes der nogle interessante krøller op, for en ting er at slette data i et system, men der kan være regnskabmæssige krav, eksempelvis at bilag (som godt kan være elektroniske eller transaktioner) mv. skal gemmes aht. skattekontrol - der kan man risikere at løbe ind i en hønen og ægget problematik.

PS - så først Knuds indlæg efter jeg havde postet, men ja præcis. Og ja der mangler i den grad fra det officielle Danmarks side nogle ordenlige og let forståelige retningslinjer.

  • 0
  • 0
Jesper Lund

... Bortset fra i dette tilfælde er garagen bygget lovligt indtil GDPR reglerne.

Nej.

Databehandlingeraftaler er også lovkrav i dag.

Retten til sletning (artikel 17) er lidt mere formaliseret end de gældende regler. Hvis et samtykke trækkes tilbage, og hvis der ikke er andre grundlag for behandling, skal oplysningerne slettes. Tidligere kunne dette være tilstrækkeligt at blokere adgangen til oplysningerne, således at der ikke sker behandling efter at samtykket er trukket tilbage. Men det kræver også en eller anden form for systemunderstøttelse.

Det har aldrig nogensinde været lovligt at opbevare persondata i det uendelige. Opbevaringsbegrænsningen i artikel 5 svarer til de nuværende regler. Så hvis man i dag har et IT-system, hvor oplysninger ikke kan slettes, kan man ikke overholde de nuværende regler (persondataloven).

Databeskyttelse gennem design og standardindstillinger (artikel 25) er et nyt krav i GDPR sammenlignet med det gældende direktiv. Men så langt er firmaet slet ikke kommet.

  • 3
  • 0
Jesper Lund

Husk lige at det kan være lovgivningen træder sig selv over tæerne.

Skat vil jo f.eks. stille krav om data 5-10 år tilbage afhængig af om påstanden lyder på uforsætligt eller forsætligt forkert udført.

Hvis vi tager retten til sletning og bogføringsloven som eksempel, så er der ikke tale om at lovgivningen træder sig selv over tæerne.

Lad os sige at der i forbindelse med et kundeforhold er registreret personoplysninger med samtykke som behandlingsgrundlag. Kunden trækker nu samtykket tilbage.

Skal alt så bare slettes? Nej.

Artikel 17, stk. 1, litra b) siger at personoplysningerne skal slettes når et samtykke trækkes tilbage, hvis der ikke er et andet grundlag for at behandle dem. En pligt til at opbevare bogføringsmateriale vil udgøre et sådant behandlingsgrundlag efter artikel 6, stk. 1, litra c).

Den dataansvarlige vil formentlig være forpligtet til at slette nogle stamdata om kunden, eksempelvis interesse for bestemte produkter med henblik på markedsføring, og sikkert også stamdata om kunden, som der ikke er lovkrav om at gemme til bogføring.

Men de personoplysninger som overført til en faktura, som gemmes i henhold til bogføringsbekendtgørelsen vil ikke skulle slettes. Her vil bogføringsbekendtgørelsen udgøre det retlige grundlag for behandlingen (formål: bogføring, regnskabsaflæggelse, skattebetaling, o.lign.).

Derudover kan personoplysninger anonymiseres, og de kan også bruges til statistik, da behandling til statistik er et formål, som (per definition) ikke er uforeneligt med det oprindelige formål, og legitim interesse vil normalt kunne udgøre et behandlingsgrundlag for viderebehandling til statistik.

Men når kunden har bedt om at "blive glemt", kan man ikke bruge personoplysningerne til andet end lovpligtig registrering og statistik. Kreativ re-targeting med Facebook Custom Audiences, i håb om at vinde kunden tilbage, er selvfølgelig udelukket.

  • 5
  • 0
Lars Christensen

Når en medarbejder stopper, så overgår denne til status 0 og alle info forwardes automatisk til arkiv 0. Dette arkiv beskyttes tilstrækkeligt til at opfylde GDPR - f.eks. på USB opbevaret i boks.
Det er vigtigt at forholde sig til, at info vedrørende den stoppede medarbejder er NO-GO og at denne info derfor SKAL beskyttes 100% mod misbrug.
Gør jer selv og virksomheden den tjeneste at bruge den fornødne tid på at læse og fortolke principperne i GDPR - det giver en rigtig god fornemmelse for hele regelsættet og dets sammenhæng.

  • 0
  • 0
Henrik Biering Blogger

Lad os sige at der i forbindelse med et kundeforhold er registreret personoplysninger med samtykke som behandlingsgrundlag. Kunden trækker nu samtykket tilbage.

Skal alt så bare slettes? Nej.

Artikel 17, stk. 1, litra b) siger at personoplysningerne skal slettes når et samtykke trækkes tilbage, hvis der ikke er et andet grundlag for at behandle dem. En pligt til at opbevare bogføringsmateriale vil udgøre et sådant behandlingsgrundlag efter artikel 6, stk. 1, litra c).

Du følger justitsministeriets fejltolkning af at "samtykke" kan benyttes som universalbasis for databehandling indtil virksomheden kommer i tanke om andre behandlingshjemler. Den holder bare ikke.

Det nævnte problematik opstår imidlertid ikke ved kundens tilbagetrækning af samtykke, men derimod allerede ved virksomhedens vildledende oplysning jf. oplysningspligten i §13 (specielt stk 2, litra c), som er ansvarspådragende efter Artikel 83 punkt 5 med en bødestørrelse, der formentlig vil være væsentligt større end ved at anonymisere kundens fakturaer, hvis man f.eks. har været dum nok til i første omgang ikke at udstede "forenklede fakturaer". Oplysning om behandlingsgrundlag og samtykkeerklæring er tillige en integreret del af den samlede aftale mellem parterne og virksomhedens brud af denne vil derfor efter omstændighederne kunne berettige forbrugerens hævelse af aftalen.

Derfor gør artikel 29 arbejdsgruppen i den ny samtykkevejledning også meget ud af at beskrive at "samtykke" kun må være grundlag for behandling af oplysninger, hvis virksomheden er HELT sikker på at der reelt foreligger et FRIT VALG for datasubjektet. Hvilket jo bl.a. forudsætter at der ikke foreligger en anden behandlingsbasis.

  • 0
  • 0
Henrik Biering Blogger

oplysningspligten i §13 (specielt stk 2, litra c)


Ups! Der skulle i parantesen have stået "specielt stk 2, litra e", som i øvrigt lyder:

"om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger"

  • 0
  • 0
Kim Madsen

Nu er det interessante så definitionen af anonymisering.
Det er nemmelig et kapitel for sig selv.

Som udgangspunkt kan et firma være potentielt straf ansvarlig, hvis det er muligt, ved at samkøre forskellige oplyningerog derved kunne udpege en person som resultat. Det kan f.eks. være behandlings information omkring en bestemt sygdom på en bestemt dato hos en læge. CPR nummer, navne, adresser og andet kan sagtens have været fjernet, men hvis lægen er istand til, ud fra datoen og sygdommen, at huske hvem det var, er data ikke anonymiseret nok,

https://www.dataprotection.ie/docs/Anonymisation-and-pseudonymisation/15...

Og så skal man også lige huske, at det gælder ikke kun de data som er pænt organiseret i et fint computer system, men også alle de printouts, sms'er, emails, PDF filer, Word dokumenter, Excel regneark og så videre, hvor der indgår noget som helst person identificerbar information, som er omfattet.

Det er faktisk efter min mening tæt på umuligt at leve op til kravene til punkt og prikke. Selve direktivet indikerer også at virksomhederne selv er ansvarlige for at foretage nødvendige overvejelser om hvor grænsen for anonymiseringen skal gå, for at være god nok. Desværre er det sådan, at hvis en myndighed er uenig, så koster det kassen.

Det er et uigennemtænkt, uigennemarbejdet og ugennemsigtigt direktiv som med garanti kommer til at koste ellers velmenene virksomheder livet.

mvh
Kim

  • 1
  • 0
Jesper Lund

Du følger justitsministeriets fejltolkning af at "samtykke" kan benyttes som universalbasis for databehandling indtil virksomheden kommer i tanke om andre behandlingshjemler. Den holder bare ikke.

Nej, det gør jeg ikke. Jeg citerer hvad der står i artikel 17.

Min hensigt var at illustrere at ikke alt skal slettes, når et samtykke trækkes tilbage. Men bogføringsloven er et dårligt eksempel, fordi behandlingen af personoplysninger på en faktura i henhold til bogføringsloven ikke kan have været baseret på samtykke på noget tidspunkt (fordi der, som du siger, er et andet grundlag).

Artikel 29 vejledningen bemærker, at de samme personoplysninger ofte behandles til flere forskellige formål, og at disse formål kan have forskellige retlige grundlag. I den situation vil tilbagetrækning af samtykke fjerne grundlaget for nogle af disse formål, men ikke alle, og data skal ikke slettes (men må kun behandles til de formål, hvor der fortsat er et retligt grundlag).

  • 1
  • 0
Henrik Biering Blogger

I den situation vil tilbagetrækning af samtykke fjerne grundlaget for nogle af disse formål, men ikke alle, og data skal ikke slettes (men må kun behandles til de formål, hvor der fortsat er et retligt grundlag) ...


Jamen, så er vi helt enige, hvis jeg må tilføje:
"... i henhold til det ved aftaleindgåelsen jf. artikel 13 oplyste vedrørende basis for diverse behandlingsformål".

Altså at man IKKE lovligt blot kan vælge samtykke som basis for en specifik behandling, for derefter at påberåbe sig en anden type basis for den selvsamme behandling, når/hvis datasubjektet vælger at udnytte retten til at tilbagetrække sit samtykke. Det er ellers det, der fremgår af Justitsministeriets betænkning (side 179), men det er de heldigvis ret meget "Palle alene i verden" om at mene.

  • 0
  • 0
Kim Madsen

Tror du ikke at retssystemet først og fremmest vil gå efter virksomheder, som lagrer data i strid med allerede gældende lovgivning ?
Og så går efter grænsetilfældene siden hen.

Måske, men det gør faktisk problemet værre i min optik. Årsagen er at man per definition "kriminaliserer" (ok jeg ved godt det er et forkert udtryk, men i mangel af bedre...) alle virksomheder, da de aldrig vil have en jordisk chance for at følge det som bliver defakto lovgivning, og så lader det være op til "magthaverne" at udvælge hvilke af den enorme gruppe af "kriminelle" som de vil gå efter netop i dag.

Sådan bør et velfungerende lovgivningssystem ikke fungere. Det bør være muligt at sikre at man i 98% af tilfældende med sikkerhed, kan vurdere om man holder sig inden for lovens grænser eller om man overtræder dem, og så overlade grænse tilfældende til afgørelse ved domstolene.

Det andet er totalt uholdbart i en retsstat.

mvh
Kim Bo

  • 0
  • 0
Niels-Arne Nørgaard Knudsen

kan man ikke bare crappe de data der skal anonymiseres som man gør med passwords (salt+hash)? gør man det alle steder den pågældende ønsker sig slettet har man stadig bevaret sporbarhed i form af unikke id'er men det er ikke noget der kan føres tilbage til nogen personer.

  • 0
  • 0
Kim Madsen

Jo, sålænge man ikke kan kombinere data med andre data (også brain data) til at kunne fastslå hvem pågældende er. Og det er ofte den store udfordring specielt i virksomheder/organisationer med forholdsvist få eller unikke kunder.

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize