Ny persondata-forordning - GDPR

GDPR

En ny persondataforordning er ved at tage form, og allerede nu kender vi mange af de nye regler og krav omkring indsamling, behandling og opbevaring af persondata. Den nye lov vil gøre reglerne mere ensartede over hele EU.

Forordningen træder i kraft den 25. maj 2018.
Inden da skal du have dine arbejdsgange beskrevet, data sikret og vide, hvad du skal i tilfælde af brud på sikkerheden.

Hvad betyder den nye forordning for dig?

Har du en hjemmeside, udsender nyhedsbreve, bruger Outlook eller på anden måde har informationer, der kan pege tilbage på en konkret person? Hvis du har, har du fremover en forpligtelse til at sikre og behandle data som beskrevet i loven.
Jeg vil her forsøge at beskrive de nye regler med udgangspunkt i de løsninger, vi tilbyder vores kunder: hjemmesider, webshops, nyhedsbreve og mailløsninger. Og du skal i gang med arbejdet, hvis du skal nå det, inden loven træder i kraft.

Få styr på sikkerheden

EU-borgernes data skal behandles sagligt, med et formål, være korrekte, behandles sikkert og med en passende fortrolighed/sikkerhed. Derudover må der ikke behandles mere data end nødvendigt, og så skal data slettes, når de ikke længere skal bruges.

Udgangspunktet for de nye regler bliver, at alle dataansvarlige skal have fuldstændig styr på deres data for at kunne leve op til persondataforordningen.

Det betyder, at du som ejer af f.eks. en webshop har ansvaret for, at data, adgang og funktioner giver den fornødne sikkerhed for de data, du opbevarer. Ansvaret gælder for alle data, der tilhører en bestemt person - gemmer du disse data, er du ansvarlig for, at de sikres korrekt, og at du til enhver tid kan finde frem til dem igen.

Hvad er persondata?

Mange steder kan man læse forskellige udlægninger af, hvad persondata er, men kan kort beskrives som enhver form for information om en identificeret eller identificerbar fysisk person - også selv om det kræver specielt program at finde disse informationer. Informationerne er bl.a. navn, adresse, fødselsdato, e-mailadresse, telefonnummer og andre informationer, der kan pege hen på en fysisk person.

Persondata er desuden opdelt i almindelige og i følsomme data. Følsomme data er f.eks. race, etnisk oprindelse, politisk og religiøs overbevisning, fagforeningsmedlemskab, seksuelle forhold og helbredsoplysninger. CPR-nummeret er endnu ikke placeret under følsomme data, men det tror jeg, det bliver.

Den nye Forordning

GDPR - sikkerhed er vigtigt og man skal kunne dokumenter den

De nye regler er en forordning - det betyder, den gælder, uden at Folketinget skal godkende eller tilpasse dem.

Artikel 5 er i den sammenhæng vigtig, fordi den giver et godt indblik i, hvad forordningen går ud på. 

Udgangspunktet for de nye regler er, hvordan brugerens data skal opfattes

Lovlig, rimelig og gennemsigtig (om indsamling af data)
Indsamles til udtrykkeligt angivne og legitime formål
Være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt
Være rigtige og om nødvendigt ajourførte
Opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede
Behandles på en måde, der giver sikkerhed for den enkelte

Den nye forordning tager udgangspunkt i forskellige fokusområder

Brugerens rettigheder og privatlivets fred
Der skal være et tydeligt formål med indsamlingen
Man skal have hjemmel for at behandle informationerne
Brugeren har krav på at kende virksomhedens regler for brug af data
Krav om standard for indsigtsbegæring
Samtykke skal være udtrykkeligt

Der er også andre rettigheder, som bliver vigtige

Ret til indsigelse mod direkte markedsføring
Retten til indsigt
Retten til at blive glemt

Og det stopper ikke der... forordningen er meget omfattende og beskriver krav om uddannelse af dig og ansatte, uvildig kontrol med mere.

Ansvarlige for data

Reglsættet arbejder med to typer: dataansvarlig og databehandler.

Du er dataansvarlig, når du er 

”…den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.”

Den dataansvarlige anses for at have 'ejerskabet' af oplysningerne. Dette betyder, at alle med en webshop, medlemssite, nyhedsbrev og bruger af mail osv. er omfattet.

Du er databehandler, når du er 

”…den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.”


Databehandleren må kun behandle oplysningerne på vegne af (efter instruks fra) en dataansvarlig. Har du adgang til data, f.eks. som leverandør af en webshop, er du databehandler. Det vil typisk være din leverandør (f.eks. os).

Dataansvarlig

Ansvaret for dataene er hos den dataansvarlige. Den dataansvarlige skal indføre foranstaltninger for at sikre og være i stand til at dokumentere overholdelse af forordningen - du skal altså stille krav over for dine databehandlere.

Sikker placering af data

I 'gamle' dage, ikke mere end nogle få år tilbage, vidste vi ikke, hvor vi reelt opbevarede vores data i mange situationer. Facebook, Google, Apple, Microsoft, Amazon osv. flyttede data rundt på servere over hele verden, og derfor kunne informationerne om dig sagtens være på en server i USA, og der gælder deres lovgivning og ikke den lovgivning, vi har i Danmark.

Du er ansvarlig for at sikre alle persondata, du gemmer

Det skal der nu være styr på, og du er ansvarlig for, at der er fuldstændig styr på persondata.

Du kan bruge leverandører i en stribe godkendte lande. Under visse betingelser kan du også bruge en leverandør i USA, bl.a. hvis leverandøren er tilsluttet EU-U.S. Privacy Shield-ordning.
Der er flere krav, der skal være opfyldt, og du har som dataansvarlig ansvaret for at kunne dokumentere, at disse overholdes.

Er du en mindre virksomhed, er mit råd at vælge en europæisk databehandler. Det er lettere og i den sidste ende billigere, fordi den valgte leverandør over for dig vil være ansvarlig for, at loven følges - vælger du en uden for EU, er det dit ansvar at kunne dokumentere, at reglerne overholdes.

Du skal henvende dig til din databehandle for at få dokumentation for, at persondata opbevares som krævet af loven.

Sanktioner

Ved brud på sikkerheden er den dataansvarlige orienteringsforpligtet over for myndighederne - er ikke besluttet endnu, men jeg forventer, det bliver Datatilsynet i Danmark.
Der skal gives besked inden for 72 timer med informationer om bruddets karakter og konsekvenserne m.v.
Bemærk, at der er omvendt bevisbyrde.

Det er dyrt ikke at have styr på GDPR

Bødeniveauet bliver op til €20.000.000 eller 4% af global omsætning.
Dette er en væsentlig forøgelse af niveauet i dag. Desuden indføres mulighed for gruppesøgsmål, som kan gøre det særdeles dyrt ikke at sikre sine data.

Hvordan kommer man i gang?

Nogle af de ting, du skal have styr på

Mapping af "dataflow":
   Identificere, hvor persondata behandles, opbevares og overføres
   Kategorisering og klassificering af data
   Dokumentere formål med behandling
GAP-analyse på eksisterende systemer
Persondatapolitik inkl. slettepolitik og sikkerhedsbrister
Risikovurderinger og undervisning af medarbejdere

"Dataflow" er dokumentation af, hvor man har data af forskellig slags. For at kunne vide, hvordan man beskytter sine data, skal man vide, hvor de er, og hvilke man har.
Dokumentation kan samtidig giver overblik over, hvordan du bruger data i dag, og hvilke du ifølge de nye regler skal slette.

Sikkerheden skal tænkes ind i alt det, du arbejder med

Kryptering af data og filer - også af backup
Adgangsbegrænsning for medarbejdere - kun adgang til data, det er nødvendigt at have adgang til
Sikre, at data ikke forlader virksomheden

Du skal starte nu

Er du dataansvarlig, skal du altså snart i gang med at få dokumenteret dit dataflow og sikre dig dokumentation for adgang og opbevaring af dine data.

Det er et stort arbejde, og alle virksomheder er omfattet i større eller mindre grad. 
Alle løsninger leveret af os opbevares i øvrigt i Danmark - og vi arbejder på at have dokumentationen klar for den samlede persondataforordning i god tid inden loven træder i kraft. Denne dokumentation vil være den overordnede databehandling, vi har. Ikke baseret på en eventuel specialløsning, du benytter dig af.

Jeg kan hjælpe dig med at få overblik over jeres data, og hvad der skal dokumenteres overordnet i virksomheden - og kan også hjælpe dig med at få dokumentationen på plads hos jer. Tag fat i mig for en snak om jeres behov, og hvor I er lige nu.

Eksterne links: Den officielle lovtekst fra EU  |  Dansk Industris vejledning om loven  |  Erhvervsstyrelsens PrivacyKompasset

Udfyld formularen nederst på siden, så kontakter vi dig hurtigst muligt.