KRONIKK: GDPR: – Test på produksjonsdata kan være lovlig

[Redaksjonen.]

KRONIKK: GDPR: – Test på produksjonsdata kan være lovlig

[Gjest Slettet+987123849734]

Dette handler vel i bunn og grunn om å byråkratisere arbeidsprosesser enda mer, sånn at det blir enda vanskeligere for nye selskaper å etablere seg. Dessverre ser man dette overalt. Her jobber myndighetene for å sikre interessen til store aktører som ikke har noe problem å ansette en håndfull jurister til å skrive skjemaer.

[Shruggie]

Dette handler vel i bunn og grunn om å byråkratisere arbeidsprosesser enda mer, sånn at det blir enda vanskeligere for nye selskaper å etablere seg. Dessverre ser man dette overalt. Her jobber myndighetene for å sikre interessen til store aktører som ikke har noe problem å ansette en håndfull jurister til å skrive skjemaer.

 

Eh, nei... For Norge er GDPR ikke særlig viktig, siden vi har en veldig god personvernlov, men jeg jobber for et skandinavisk firma, og den svenske lovgivingen på området er latterlig, og det viser seg at de må gjøre enorme endringer i den svenske avdelingen for å tilpasse seg den nye loven.

[Johannes Brodwall]

Som forfatter av artikkelen som det refereres til må jeg si meg enig i så å si alt i denne artikkelen. Det er mulig å benytte persondata i testsystemer, men det krever en god vurdering av hvordan det gjøres.

 

Noen spørsmål:

 

* Hva skal til for at det er greit å gi utviklere og "vanlige" testere tilgang til et testmiljø med tredjeparts persondata?

* Gir hjemmelgrunnlag til å behandle persondata automatisk hjemmel til å bruke data til andre formål som testing?

* Jeg synes punktet om "berettiget interesse" er vanskelig å forstå. Kan dere utdype det?

[Gjest Slettet+987123849734]

 

Dette handler vel i bunn og grunn om å byråkratisere arbeidsprosesser enda mer, sånn at det blir enda vanskeligere for nye selskaper å etablere seg. Dessverre ser man dette overalt. Her jobber myndighetene for å sikre interessen til store aktører som ikke har noe problem å ansette en håndfull jurister til å skrive skjemaer.

 

Eh, nei... For Norge er GDPR ikke særlig viktig, siden vi har en veldig god personvernlov, men jeg jobber for et skandinavisk firma, og den svenske lovgivingen på området er latterlig, og det viser seg at de må gjøre enorme endringer i den svenske avdelingen for å tilpasse seg den nye loven.

Absolutt ingenting av det eu gjør er til det beste for folk flest. Enkelte ting er lettere å selge inn enn andre, men til syvende og sist jobber eu for at folk flest skal bli slaver med minst mulig igjen av deres eget arbeid med svært begrensede muligheter for å skape sine egne verdier.

[Johannes Brodwall]

Absolutt ingenting av det eu gjør er til det beste for folk flest. Enkelte ting er lettere å selge inn enn andre, men til syvende og sist jobber eu for at folk flest skal bli slaver med minst mulig igjen av deres eget arbeid med svært begrensede muligheter for å skape sine egne verdier.

 

Jeg tror det er vanskelig å misforstå GDPR mer enn dette. Har du i det hele tatt lest (noe av) lovteksten? Hele poenget er at GDPR skal motvirke en fremtid der vi er "slaver" av bedrifters kontroll over våre data.

 

Kanskje litt research før du kommer med instinktreaksjoner hadde vært på sin plass?

[Shruggie]

 

 

Dette handler vel i bunn og grunn om å byråkratisere arbeidsprosesser enda mer, sånn at det blir enda vanskeligere for nye selskaper å etablere seg. Dessverre ser man dette overalt. Her jobber myndighetene for å sikre interessen til store aktører som ikke har noe problem å ansette en håndfull jurister til å skrive skjemaer.

 

Eh, nei... For Norge er GDPR ikke særlig viktig, siden vi har en veldig god personvernlov, men jeg jobber for et skandinavisk firma, og den svenske lovgivingen på området er latterlig, og det viser seg at de må gjøre enorme endringer i den svenske avdelingen for å tilpasse seg den nye loven.

Absolutt ingenting av det eu gjør er til det beste for folk flest. Enkelte ting er lettere å selge inn enn andre, men til syvende og sist jobber eu for at folk flest skal bli slaver med minst mulig igjen av deres eget arbeid med svært begrensede muligheter for å skape sine egne verdier.

 

Det var åpenbart en feil å snakke til deg. Jeg kommer ikke til å gjøre samme feil igjen.

[404415]

Som forfatter av artikkelen som det refereres til må jeg si meg enig i så å si alt i denne artikkelen. Det er mulig å benytte persondata i testsystemer, men det krever en god vurdering av hvordan det gjøres.

 

Noen spørsmål:

 

* Hva skal til for at det er greit å gi utviklere og "vanlige" testere tilgang til et testmiljø med tredjeparts persondata?

* Gir hjemmelgrunnlag til å behandle persondata automatisk hjemmel til å bruke data til andre formål som testing?

* Jeg synes punktet om "berettiget interesse" er vanskelig å forstå. Kan dere utdype det?

 

Berettiget interesse er den svakeste grunnen til behandling. Du finner selv ut om du er berettiget til å gjøre det du vil ...problemet er at all berettiget interesse kan utfordres av kunden. Og hvis en slik utfordringer blir lagt frem, så må du stoppe opp med prosessering:

 

6.1 (f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

 

21.1. ... The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims.

 

Antagelsen er at bruk av "berettiget interesse" kommer til å havne hos advokatene til slutt.

[Dr.B]

Advokatene som har skrevet dette mente det sikkert godt, men det gjorde meg bare enda mer forvirret med de ekstremt lite konkrete eksemplene de presenterte.

[0laf]

Absolutt ingenting av det eu gjør er til det beste for folk flest. 

 

Å si dette til en utvikler som jobber for Sopra Steria, og som nærmest gnir seg i hendene over slike restriksjoner som GDPR, hjelper fint lite.

 

Johannes pusher jo dette som om det var Guds gave til IT-bransjen, mens de fleste forstår at selv om det er bra for personvernet, så er det like håpløst som cookie-loven for utviklere.

 

Dette sikrer jo jobbene i selskaper som Sopra Steria, lager mer byråkrati, drar inn mer kroner for konsulenttjenester, og gjør det vanskeligere for små selskaper å konkurrere.

 

For oss andre, så er omtrent det eneste alternativet å ta lang fart å drite i hele GDPR, å håpe at vi ikke blir tatt.

Å skulle hoste opp store datasett kun for testing, fordi vi ikke kan ikke kjøre tester på produksjonsdata, er helt fullstendig tullete for de aller fleste.

[Johannes Brodwall]

 

Absolutt ingenting av det eu gjør er til det beste for folk flest. 

 

Å si dette til en utvikler som jobber for Sopra Steria, og som nærmest gnir seg i hendene over slike restriksjoner som GDPR, hjelper fint lite.

 

Johannes pusher jo dette som om det var Guds gave til IT-bransjen, mens de fleste forstår at selv om det er bra for personvernet, så er det like håpløst som cookie-loven for utviklere.

 

Dette sikrer jo jobbene i selskaper som Sopra Steria, lager mer byråkrati, drar inn mer kroner for konsulenttjenester, og gjør det vanskeligere for små selskaper å konkurrere.

 

Nå er du litt vel freidig her. Jeg har ikke akkurat behov for mer å gjøre.

 

Har du lest loven og formålet med den?

 

Når det gjelder testdata vil jeg si at noen med et minimum av profesjonalitet har kontroll på generering av testdata. Å unnskylde mangel på å følge loven med uprofesjonell systemutvikling er svakt.

[Johannes Brodwall]

 

Som forfatter av artikkelen som det refereres til må jeg si meg enig i så å si alt i denne artikkelen. Det er mulig å benytte persondata i testsystemer, men det krever en god vurdering av hvordan det gjøres.

 

Noen spørsmål:

 

* Hva skal til for at det er greit å gi utviklere og "vanlige" testere tilgang til et testmiljø med tredjeparts persondata?

* Gir hjemmelgrunnlag til å behandle persondata automatisk hjemmel til å bruke data til andre formål som testing?

* Jeg synes punktet om "berettiget interesse" er vanskelig å forstå. Kan dere utdype det?

Berettiget interesse er den svakeste grunnen til behandling. Du finner selv ut om du er berettiget til å gjøre det du vil ...problemet er at all berettiget interesse kan utfordres av kunden. Og hvis en slik utfordringer blir lagt frem, så må du stoppe opp med prosessering:

 

6.1 (f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

 

21.1. ... The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims.

 

Antagelsen er at bruk av "berettiget interesse" kommer til å havne hos advokatene til slutt.

 

 

Takk for bra svar!

[0laf]

Nå er du litt vel freidig her. Jeg har ikke akkurat behov for mer å gjøre.

 

Joda, jeg er vel det, men du virker i overkant hypp på flere restriksjoner, noe de aller fleste utviklere helst ville vært foruten.

 

Jeg ser liksom ingen andre som pusher GDPR med like stor entusiasme, men jeg skal være enig i at formålet med forordningen virker nobelt nok, problemet er at det i stor grad er få som kommer til å lese igjennom, og langt mindre følge, et nesten hundre siders langt dokument for hvordan man skal behandle slike data.

 

Greiere retningslinjer for at persondata ikke misbrukes er vel og fint, men dette virker noe i overkant byråkratisk og vanskelig, som gjør det enda pussigere at enkelte som jobber med dette, slik som deg, synes det er tipp-topp.

[Johannes Brodwall]

 

Nå er du litt vel freidig her. Jeg har ikke akkurat behov for mer å gjøre.

Greiere retningslinjer for at persondata ikke misbrukes er vel og fint, men dette virker noe i overkant byråkratisk og vanskelig, som gjør det enda pussigere at enkelte som jobber med dette, slik som deg, synes det er tipp-topp.

Har du lest lovteksten?

[0laf]

Har du lest lovteksten?

 

Deler av den, men ikke hele.

[Johannes Brodwall]

 

Har du lest lovteksten?

 

Deler av den, men ikke hele.

 

Hvilke artikler mener du er byråkratiske? Bonuspoeng dersom dette er ting som er nytt etter personopplysningsloven fra 2000.

[0laf]

Byråkratisk er den jo fordi det er 90 sider sider for å beskrive hvordan personvern skal opprettholdes.

 

Dersom du mener det ikke er noe nytt i den nye personvernforordningen, og at det stort sett er det samme som står i de tre-fire sidene som utgjør Personopplysningsloven, så virker det jo enda mer byråkratisk å skrive så mange sider?

[Shruggie]

Byråkratisk er den jo fordi det er 90 sider sider for å beskrive hvordan personvern skal opprettholdes.

 

Dersom du mener det ikke er noe nytt i den nye personvernforordningen, og at det stort sett er det samme som står i de tre-fire sidene som utgjør Personopplysningsloven, så virker det jo enda mer byråkratisk å skrive så mange sider?

Eller du kan ta et eller flere kurs som er tilgjengelig, slik som vi gjorde. Kurset var svært kort fordi ikke mye er endret i forhold til Norsk lov. 

[Johannes Brodwall]

Byråkratisk er den jo fordi det er 90 sider sider for å beskrive hvordan personvern skal opprettholdes.

 

Dersom du mener det ikke er noe nytt i den nye personvernforordningen, og at det stort sett er det samme som står i de tre-fire sidene som utgjør Personopplysningsloven, så virker det jo enda mer byråkratisk å skrive så mange sider?

 

Det er noe i det du sier, men ikke så mye som man skulle tro. For det første er en rettferdig sammenligning antageligvis med dagens forskrift heller enn loven, og den er på 20 sider, ikke 3-4 sider. Eller kanskje begge deler. Loven er på cirka 15 sider. Den dokumentmessige fremstillingen til GDPR er ikke imponerende bra, men når man skjønner den, så viser det seg at det kun er cirka 50 sider som egentlig inneholder loven. Og disse regulerer også forhold som Datatilsynets rolle, samarbeid mellom Datatilsynet og tilsvarende myndigheter i andre land og andre ting som ligger til grunn for dagens lovgiving, men som ikke står i akkurat personvernloven eller -forskriften.

 

Men det er rettferdig å si at den sammenlignbare delen av loven kan ha blitt dobbelt så mye tekst. Dette er delvis på grunn av mer omfattende bestemmelser for eksempel rundt samtykke og delvis på grunn av nye ting som for eksempel utveksling over landegrensene.

 

Jeg er imidlertid ikke overrasket dersom man har dobbelt så mye å si om personvern i IT systemer i 2017 enn i 2000.

[3VOEADCN]

 

Absolutt ingenting av det eu gjør er til det beste for folk flest. 

 

Å si dette til en utvikler som jobber for Sopra Steria, og som nærmest gnir seg i hendene over slike restriksjoner som GDPR, hjelper fint lite.

 

Johannes pusher jo dette som om det var Guds gave til IT-bransjen, mens de fleste forstår at selv om det er bra for personvernet, så er det like håpløst som cookie-loven for utviklere.

 

Dette sikrer jo jobbene i selskaper som Sopra Steria, lager mer byråkrati, drar inn mer kroner for konsulenttjenester, og gjør det vanskeligere for små selskaper å konkurrere.

 

For oss andre, så er omtrent det eneste alternativet å ta lang fart å drite i hele GDPR, å håpe at vi ikke blir tatt.

Å skulle hoste opp store datasett kun for testing, fordi vi ikke kan ikke kjøre tester på produksjonsdata, er helt fullstendig tullete for de aller fleste.

Hvor mye jobb det er kommer an på hvordan basen er. Å eksportere kun noen få tabeller istedenfor hele basen er vel fullt innafor hva de fleste DBA-er bør kunne få til. Også å eksportere bare et utvalg innen hver tabell. Å lage basen slik at de mest personidentifiserende feltene som fødselsnr, navn, adresse og annen kontaktinfo, ligger i en egen "ID-tabell" og kun der. Den tabellen opprettholder man så en syntetisk versjon av og det er den som eksporteres til testformål.