Hvor er de personfølsomme (data)?

Det er med digitalisering som med vaccineprogrammer. Hvis der ikke er en grundlæggende tillid, ender det i fiasko. Det lægger en meget stor byrde på de dataansvarlige, og de vil i højere og højere grad få brug for al den understøttelse, de kan få.

Tillid er en afgørende forudsætning for opbakning og tilslutning, men den er en sårbar størrelse. Aktuelt oplever vi det i forbindelse med vacciner, men det gælder i høj grad også digitalisering. Hvis det opstår tvivl om sikkerhed og beskyttelse, kan det have store juridiske konsekvenser eller betyde, at brugerne trækker sig.

Kontrol eller tillid?

Citatet ”Kontrol er bedre end tillid” bliver hyppigt brugt som et skræmmeeksempel på en statsmagt, der benytter kontrol som et magtmiddel i stedet for at have tillid til, at den enkelte vil agere som en samvittighedsfuld medborger. Ofte bliver det brugt som den linje, der adskiller diktatoriske regimer og demokratiske, frihedshyldende nationer.

Så enkelt er det naturligvis ikke, men spørgsmålet er, hvordan de to skal vægtes, og hvordan det efterfølgende skal effektueres.

Det første er primært et politisk anliggende, men når det kommer til sikkerhed og beskyttelse af digitale data ender ansvaret i mange tilfælde hos den enkelte aktør. Derfor bliver de nødt til at agere meget systematisk og konsekvent for at opretholde den skrøbelige tillid blandt borgere og politiske beslutningstagere.

Vi ser dog desværre alt for ofte, at dette ansvar bliver løftet temmelig stedmoderligt. Vedtagelsen af GDPR-forordningen ville ikke have været nødvendig, hvis både private aktører og offentlige institutioner havde forstået og adresseret de potentielle problemer, en massiv digitalisering af personfølsomme oplysninger medfører. Alt for sent blev selv de mest hæderlige fanget som dådyr i en lyskegle, da der blev sat strøm til arkivskabene, og det ikke længere forudsatte brækjern og brutal vold at tilegne sig data på kriminel vis.

Nu har vi efterhånden haft GDPR i nogle år. Men selvom det ikke længere har nyhedens interesse, er det stadig et tema, der hyppigt bliver bragt op.

For det er bestemt ikke nemt.

På trods af at mange tjenestevillige revisions- og advokatvirksomheder stillede sig selv og deres services til rådighed, så alle de nødvendige procesbeskrivelser kunne tilvejebringes, så dukker der jævnligt historier om databrud og manglende beskyttelse op.

Fejl 40

Sagerne om databrud og manglende beskyttelse af personfølsomme data trækker ofte store overskrifter. Specielt når det drejer sin om offentlige instanser, der ikke har været deres ansvar voksent eller pga. den iboende fejlmargen, der altid eksisterer ved manuel håndtering, har begået hvad man lidt spøgefuldt kalder en Fejl 40 (dækker over de 40 cm, der typisk er mellem en computerskærm og brugeren).

Men der er også en anden årsag, og den er langt mere alvorlig.

Med den voksende kompleksitet og de evigt voksende mængder af dokumenter knyttet til forskellige sager, kommunikation og transaktioner, kan det være sin sag at gennemskue, hvor de følsomme data befinder sig. GDPR-forordningens oplistning af forskellige typer af materiale udgør blot en brøkdel af alle de kilder, der kunne være aktuelle, og således kan selv den mest pedantiske efterlevelse af lovens ord ikke fungerer som en fuldstændig sikkerhed.

Det er nemt nok at have regler for hvem, der må have adgang til en patientjournal, men hvad hvis der i et dokument tilknyttet en proces, der ikke er med på listen over potentielle datakilder, figurerer oplysninger, der kan identificere en person og måske endda oplysninger, der kan misbruges?

Det kan løbe op i adskillige tusinder af dokumenter, der potentielt skal gennemlæses manuelt for med tættekam at undersøge, om der skulle gemme sig noget følsomt.

Digitale Detektiver

Det har været en udfordring, som såvel digitale aktører som de lokale dataansvarlige har kæmpet med i lang tid. Problemet har – meget kort sagt – ligget i, at teksten i et dokument ikke nødvendigvis følger reglerne. Man kan ikke altid regne med, at en tekst forfattet af et helt almindeligt menneske kan sættes på en formel, og derfor kan ’dumme’ digitale maskiner have svært ved at gennemskue, hvad der står, og hvad der måtte være følsomt.

Det er en af de grundlæggende udfordringer, som AWS ved hjælp af AI-services som bla. Comprehend, der er trænet till at afkode naturligt sprog (natural language processing: NLP), er sat i verden til at løse, og nu har AWS optimeret den til endnu bedre understøttelse af de dataansvarliges overholdelse af forordninger til beskyttelse af personfølsomme data.

Det er fortsat ikke en service, der er fuldt udrullet til hele verden, og vi må formentlig vente lidt, før vi kan drage nytte af den i Danmark, men med tilføjelsen af Detect PII (Personally Identifiable Information) og Label Documents with PII har dataansvarlige fået et automatiseret redskab til at identificere personfølsomme data som navn, personnummer, telefonnummer, bankoplysninger, etc. i naturlig tekst og efterfølgende tagge de dokumenter, der indeholder denne type oplysninger, så de kan blive håndteret korrekt.

Fuld udnyttelse af digitaliseringens muligheder står og falder med brugernes tillid. For at sikre den er der krav om mange forskellige former for kontrol. I sidste ende er kravene om kontrol dog kun så effektive, som den understøttelse de ansvarlige har til at leve op til reglerne, og det ansvar ligger mere eller mindre hos dem, der leverer de digitale services.

Scroll til toppen
Share via
Copy link
Powered by Social Snap