Festskrift til Mads Bryde Andersen (1. udg.)

Med dette festskrift hylder en række kolleger inden for den akademiske og praktiske juridiske verden professor, dr.jur. Mads Bryde Andersen i anledning af hans 60 års fødselsdag den 25. september 2018. Hyldesten tilfalder en person ud over det sædvanlige. Allerede doktordisputatsen »Edb & ansvar« fra 1989, skrevet på lidt over to år, dokumenterede de kvalifikationer, der kendetegner Mads: fremragende analytiske evner, en enorm arbejdskapacitet, stor intellektuel nysgerrighed og en evne til ny og original juridisk tænkning. Disse evner har gjort Mads til en af sin generations mest markante jurister og har resulteret i et omfattende forfatterskab og praktisk virke.

des det afgøres, at behandlingssituationen ikke er omgærdet af design med den mulige konsekvens, at der skal bødesanktioneres. Det er ikke muligt at give sikre svar på disse spørgsmål, og måske har forordningen på denne måde skabt en art beskrivelsesproblem.

Det er udbredt, at artikel 25 opfattes som en regel om datasikkerhed. Dette kan muligvis have en vis begrænset ræson i forhold til anvendelsen af standardindstillinger (deault), mens det er mindre nærliggende i forhold til design. Forordningen har i artikel 32 en bestemmelse om datasikkerhed, og design-reglen er ikke systematisk knyttet til denne bestemmelse. Der er tale om noget mindre håndfast og på mange måder er der tale om en regel af den type, der ofte benyttes i den persondataretlige regulering. Den angiver en vis retning, men den er uden helt faste konturer, hvilket betyder, at den kan udfyldes på forskellige måder. Kravet om design behøver ikke nødvendigvis være en stor byrde for den dataansvarlige, bl.a. fordi en behandlingssituation kan være mere eller mindre kompleks og designkrævende.

Der er åbnet et rum, som på en lidet beregnelig måde kan udfyldes af tilsynsmyndigheder og andre bestemmende organer. Design kan forstås som en fordring om, at det miljø, der omgiver behandlingssituationen, skal være indrettet på en sådan måde, at det sikrer den bedst mulige databeskyttelse og opfyldelse af forordningens målsætninger. Det er en fordring om, at den dataansvarlige konstant skal tænke databeskyttelse. I denne forstand er der tale om en handlenorm, men det er fortsat et åbent spørgsmål, hvorledes denne norm gøres operationel, og hvorledes den bliver adfærdsstyrende. Det må under alle omstændigheder konstateres, at design-kravet kan opfyldes på flere måder og således er betinget af den persondatabehandling, som finder sted. Det er et individuelt krav, og der er ikke kun en bestemt form for design, og det må afhænge af en specifik vurdering, om der i det enkelte tilfælde er taget tilstrækkeligt hensyn til databeskyttelsen.

Måske er vanskelighederne forbundet med, at man har knyttet reglen til et slogan, der kan lyde godt, men som i denne sammenhæng ikke har retlig karakter. Tværtimod vil design sandsynligvis for mange, måske de fleste, dataansvarlige være en mystifikation, som skaber usikkerhed. Dette er måske særligt tilfældet, når det anvendes i de ikke engelske sprogversioner af forordningen. Lægger man i almindelighed til grund, at design-kravet indebærer, at den dataansvarlige skal tænke databeskyttelse, aktualiseres spørgsmålet om, hvorledes man gør dette. Man kan spørge, om handlenormen er relateret til noget rimeligt præcist.