Persondataforordningen

Home / Services / Persondataforordningen

Persondataforordningen

eu-data-protectionHvad betyder den kommende persondataforordning fra EU for Danske virksomheder, og hvordan kan man som virksomhed drage fordel af den nye EU-lov.

Det officielle navn for loven fra EU er: General Data Protection Regulation (forkortet GDPR).

På dansk kalder vi den for “Persondataforordningen”. Loven forventes endeligt vedtaget i starten af 2016 og fra 2018 skal alle leve op til den.

Indledning:

Den gamle lov (EU’s Data Protection Directive) kom i 1995, og der er mildt sagt sket en hel del på IT-fronten siden. EU’s intention med GDPR er at skabe en mere nutidig lovgivning og at gøre det lettere for virksomheder i der bor eller laver forretning i Europa, at begå sig og overholde lovgivningen. Det gamle direktiv, er som det hedder kun et direktiv, som hvert land skulle forholde sig til individuelt. Den nye lov er en “Regulation”, og det betyder groft sagt at loven indføres i hele EU uden at medlemslandende skal lovgive på egen hånd. Dette er ikke omfattet af retsforbeholdet, som Danmark sagde nej til at afskaffe i December 2015. GDPR er ikke ment som en forhindring for at lave forretning i EU, men mere for at lave nogle ensartede regler for hvordan data skal behandles, udnyttes og opbevares. Dog er det ultimative formål med loven at beskyttet vores private information og data. Loven handler primært om beskyttelse af information og data om private EU-borgere. Det engelske udtryk for den slags information der tales om er “PII” – Personal Identifiable Information – På dansk personhenførbar information. Altså information der kan pege på dig og mig som indivieder. Informationer om hvem vi er, hvor vi bor, vores telefonnumre, vores e-mailadresser og andre personlige informationer. Loven handler altså IKKE om virksomhedsdata, kun data om private. Men når alt kommer til alt, er der ikke så stor forskel på om man som virksomhed opbevarer data om private (typisk kunder) eller om andre virksomheder. Det hele ligger i filer, dokumenter og databaser et eller andet sted i virksomheden.

 

Målet med loven er, at vi som private individer kan forvente at virksomheder der på nogen måde gemmer information der kan henføres til os privat, gør sig umage for at beskytte disse information om os. Det forventes at virksomheder iværksætter de tiltag der skal til for at sikre vores private data.

 

Som det er lige nu, inden den nye persondataforordning vedtages, skal virksomheder tilpasse måden de håndterer informationer på til de enkelte EU-lande der gør forretning i. Det kan blive en ret så stor opgave for virksomheder der operer i flere af de 28 EU-medlemslande. Så her ses en af de første muligheder for at spare virksomheder for en række udgifter. Den samme lov for alle EU-lande, vil gøre det lettere og billigere for virksomheder at leve op til reglerne.’

 

Loven kommer til at gælde alle virksomheder uanset størrelse og omsætning. Der hvor der vil blive gjort forskel, er efter hvor meget data din virksomhed behandler og gemmer om private EU-borgere. Det er vigtigt at huske at loven ikke kun gælder for virksomheder med private kunder. Den gælder også ansatte i virksomheder. Fx personalemapper. Ansatte er også privatpersoner!

 

Som privatperson har du ret til at spørge hvilken som helst offentlig eller privat virksomhed om hvilke data de har gemt om netop dig. Private har også ret til at bede om dokumentation for hvordan I beskytter disses informationer. Forestil dig at alle dine private kunder henvender sig til jer for at bede om netop den indsigt. Hvordan vil I håndtere dette? Har I en procedure på plads og en enkelt knap at trykke på, eller skal I starte et større detektivarbejde for virkelige at svare sandfærdigt på det?

 

Hvis der skulle ske at brud på datasikkerheden og virksomheden mister data om private kunder. Har I så en plan for hvordan dette håndteres? Kan I dokumentere at I har taget de nødvendige sikkerhedsforanstaltninger for at forhindre databrud? Er I klar til at skulle informere relevante myndigheder OG alle de berørte privatpersoner om at I har mistet deres personlige informationer? Hvilke konsekvenser vil det få for jeres omdømme, brand og eventuelle aktiepriser?

Lovens omfang

Loven er ret omfattende og dækker en lang række scenarier. Her vælger vi at fremhæve nogle af de vigtige dele om datasikkerhed, som alle virksomheder må forholde sig til:

  1. Artikel 30 – Sikkerhed ved behandling af data
    1. I skal forhindre enhver uautoriseret adgang til personlige data – Kort sagt, hvis du ikke skal bruge disse data for at kunne udføre dit arbejde, bør du ikke have adgang til dem. Mange steder har diverse IT-administratorer fx adgang til alle fildrev. Direktørens assistent har adgang til samme filer som direktøren. Er det nødvendigt?
    2. I skal forhindre enhver uautoriseret afsløring, læsning, kopiering, redigering, sletning eller fjernelse af personlige data. 
  2. Artikel 31 – Underretning af myndigheder ved brud på datasikkerheden. Betyder at hvis virksomheden mister data, så skal det anmeldes. Virksomheden må mere eller mindre skamfuldt indrømme, at de har lavet en fejl og mistet data. Her skal virksomheden var klar til en række ubehagelige spørgsmål om sikkerhed, foranstaltninger, håndtering og omfang / mængden af data der er blevet kompromitteret. Virksomheden skal selvfølgelig først opdage at data er blevet stjålet eller mistet. Nogle virksomheder vælger at tysse det ned eller feje det ind under gulvtæppet. Dette kan vise sig at være en meget farlig vej at gå! For anmeldes bruddet ikke, overtrædes loven!
  3. Artikel 32 – Underretning af “offeret” (den private borger) ved brud på datasikkerheden. Den eller de personer der er blevet udsat i bruddet på datasikkerheden, skal underrettes om hvad der er sket og hvilke informationer om dem der er mistet. Som privatperson har man ret til at anmelde og indgive klager / bekymringer om datasikkerheden i en virksomhed til myndigheden. Sker dette, skal myndigheden undersøge sagen, og de vil utvivlsomt kontakte jer og stille irriterende spørgsmål. Viser sådan en undersøgelse at der faktisk har været et brud på datasikkerheden, og at virksomheden ikke har anmeldt det, så skal virksomheden ud og hyre en god advokat i en fart.Bemærk: Kan virksomheden bevise at data har været ordentligt beskyttet ved anmeldelse under artikel 31, kan virksomheden slippe for at skulle underrette hver enkelt “offer”. Kan virksomheden IKKE bevise dette, så skal alle kontaktes.

I modsætning til almindelige retsprincipper om at du er uskyldig til det modsatte er bevist, så er netop denne påstand vendt på hovedet i disse sager. Hvis virksomheden har haft et brud på datasikkerheden, så er virksomheden skyldig indtil det modsatte kan bevises.

Store bøder

law-finesEn af måderne EU vil tvinge virksomhederne til at tage denne lov seriøst er bøder. Størrelsen og omfanget er i skrivende stund stadig under debat. Det der tales om lige nu er bøder på helt op til 5% er virksomhedens årlige omsætning (globalt) eller 100 millioner Euro – hvad der nu er størst. Så det kan blive virkeligt dyrt ikke at tage datasikkerhed seriøst!

Hvordan bødernes størrelse skal afgøres er også stadig under debat. Men der kommer til at blive en tæt sammenhæng med mængden af data der blev tabt og hvor sikker / skødesløst blev data beskyttet. Det vil sige at det bliver afgørende hvad virksomheden har gjort for at beskyttet sine data. Ingen indsats = kæmpe stor bøde! For selvfølgelig er der forskel på om I virkeligt har gjort alt I kunne, og at I desværre blev hacket af en klogere hacker eller om I intet har gjort og døren til data stod pivåben.

Virksomheder skal have udnævnt en person til at være “Data Protection Officer”? Bemærk  at i forbindelse med denne lov, så afgøres det om man er en SME eller ej, ved om man håndterer data for mindre en 5000 EU-borgere om året. Håndterer du data for mere end 5000 private om året, skal du altså have en navngiven Data Protection Officer (DPO).

Det interessante ved denne nye definition af SME er, at du efter den normale definition af en SME kan være en mikrovirksomhed, men at du udfra mængden af personer du håndterer data i forbindelse med, kan være en stor virksomhed. Fx kan du have lavet en app til smartphones, der bruges af 50.000 private personer i EU. I Denne app har du deres navn og andre personlige informationer. Pludselig er din virksomhed en stor virksomhed når det kommer til datasikkerhed!

Som tidligere skrevet forventes loven at blive vedtaget i EU i starten af 2016. Herefter starter de enkelte landes arbejde med at undersøge om den nuværende lovgivning på området i hvert land lever op til kravene i GDPR. Hvis den lokale lov i landet er mildere en loven fra EU, må processen for at ændre den lokale lovgivning starte. Først fra 2018 skal loven være på plads i alle lande.

Spørgsmål I bør stille jer selv i virksomheden:

  • Har vi en klar strategi til beskyttelse af personhenførbare data?
  • Har vi en klar nedskrevet politik til beskyttelse af personhenførbare data?
    • Er denne politik en som alle medarbejdere i virksomheden er bekendt med – og forstår de den?
  • Er der nogen der har adgang til data, information eller dokumenter som du ikke har behov for for at kunne udføre deres arbejde?
  • Har vi indført den nødvendige sikkerhed og tage de nødvendige tiltag for at beskytte data for private?
  • Hvad er vores procedure for at håndtere “aktindsigt”?
  • Kan vi nemt fremfinde alle data om en given person?
  • Har vi en skreven dokumentation for hvordan vi passer på privtas data?
  • Hvad er vores procedure hvis vi skulle få et brud på datasikkerheden?
  • Hvad er vores procedure for undersøgelse og dokumentation af sikkerhedsbrudet?
  • Hvad er vores procedure for underrettelse af myndighederne?
  • Hvad er vores procedure for underretning af “ofrene”?
  • Hvad er vores strategi for at disse “ofre” ikke skal miste tilliden til os?
  • Har vi udnævnt en “Data Protection Officer”?

Hvad kan vi gøre her og nu?

  • Start med at udforme en strategi og en politik for datasikkerhed. En god start kan være at skrive ned hvordan data kommer ind og ud af din virksomhed, og hvem der har adgang til det.
  • Krypter servere og computere (især bærbare computere!)
  • Krypter data og dokumenter.
  • Sørg for at smartpphones og tablets har en stærk kode – minimum en pinkode.
  • Brug kun krypterede USB-nøgler og krypterede flytbare harddiske og andre medier.
  • Gennemgå rettigheder og adgange til data.
  • Krypter e-mails og vedhætninger, brug evt. en gateway der kontrollere filer på vej ud af huset for persondata.
  • Overvej brug af tjenester som Dropbox, GoogleDrive og OneDrive. Krypter indholdet hvis det er personsensitivt.
  • Sørg for at antivirus og de programmer i anvender altid er opdaterede. Hackere har det med at udnytte huller og sårbarheder i den slags.
  • Indfør en god ECM-løsning til håndtering, lagring, sikring og bevaring af informationer og dokumenter. Se evt. mere her: ECM – Enterprise Content Management

 

Hos Frays.Net kan vi hjælpe din virksomhed, uanset om den er dansk eller international, med at få styr på data, records og dokumentation så lovgivningen overholdes. Overholdes lovgivningen ikke, kan det koste dyrt. Sådanne skræmmescenarier sælger altid godt, men vi vil hellere fokusere på de fordele din virksomhed kan få ved at arbejde omhyggeligt med at beskytte og have styr på digitale data, informationer og dokumenter. Via vores partner M Networks A/S kan vi tilbyde bistand med at sikre jeres hardware, software, e-mails og mobile platforme. Vi kan sågar teste jeres sikkerhed med en “Ethical Hacker”, der efter aftale vil forsøge at stjæle jeres data og bryde jeres sikkerhed.

Et par fordele for virksomheder ved den nye persondataforordning:

  1. Det bliver lettere og billigere at håndtere data om private i EU-lande.
  2. Et EU-marked, en lov
  3. Hvis uheldet er ude og din virksomhed mister data om private, er der kun ét sted det skal anmeldes.
  4. At have styr på sikkerhed og databeskyttelse, giver større tillid til jer som leverandør.

Et par fordele for private ved den nye persondataforordning:

  1. Bedre sikkerhed omkring dine og mine data
  2. Vi som private for mere kontrol over vores egne information
  3. Vi får “retten til at blive glemt / slettet”

 

Fordele ved ECM i forhold til den nye persondataforordning:

  1. Adgang til informationer kan styres meget præcist.
  2. Rettigheder til handlinger med fx dokumenter kan styres meget præcist.
  3. Alle handlinger logges og kan fremvises i et revisionsspor (Audit Trail).
  4. Mange ECM-løsninger har moduler eller indbyggede muligheder for “Records Management”.
  5. Har virksomheden først styr på de digitale informationer og dokumenter, åbnes der op for helt nye muligheder for at automatisere en lang række arbejdsgange og processer.

Ring 25 11 10 06 eller skriv til info@frays.net for et uforpligtende inspirationsmøde.

 

Disclaimer: Ovenstående er vores fortolkning af den kommende EU-lovgivning, og er ikke komplet. Anvendelse af ovenstående sker under eget ansvar og Frays.Net kan ikke holdes ansvarlig for noget i den forbindelse.