Nye regler om databeskyttelse

2015-11-02

Internettet eksploderer med oplysninger, og ­organisationer og virksomheder svømmer i højere og højere grad over med data. Omkring årsskiftet forventes Europakommissionen derfor at indføre nye regler for databeskyttelse for at sikre borgernes rettigheder. Hvad din organisation skal forberede sig på, kan du få et overblik over her. Vi har talt med sikkerhedsspecialist Peter Schjøtt fra Symantec.

Når en kunde skriver sig op til et nyhedsbrev eller har en dialog med en virksomhed på de sociale medier, så sker der en udveksling af personlige og følsomme data som fx kontaktoplysninger og i nogle tilfælde endda CPR-nummer. Disse data bliver typisk gemt i længere tid og i nogle tilfælde delt mellem relevante personer. Har din organisation styr på alle disse persondata, hvor de er, hvornår de bliver slettet, hvem de er delt med? Og kan I dokumentere det og sørge for, at de bliver slettet, hvis en elev ønsker det? Det kommer I til at skulle kunne. Når den nye EU-forordning sandsynligvis træder i kraft omkring årsskiftet, vil der typisk være en to-årig periode til at implementere de forskellige tiltag, som det kræver.

”Der kommer nogle helt nye krav til organisationer og virksomheder. I dag får du måske en mindre bøde, hvis du ikke har styr på sikkerheden, men fremover skal du kunne bevise, at du har styr på sikkerheden, hvis Datatilsynet banker på din dør. Og hvis du ikke kan bevise det, så får du ørerne i maskinen med potentielt temmelig store bøder til følge,” for­klarer sikkerhedsspecialist Peter Schjøtt fra Symantec.

I udgangspunktet er det ligegyldigt, hvilken type organisation eller virksomhed man er, reglerne er de samme. Dog gælder der den særlige regel, at hvis man har mere end 250 fuldtidsansatte medarbejdere eller håndterer personhenførbare data for mere end 5.000 ­personer, så skal man have ansat en dataansvarlig (Data Protection ­Officer), der kan svare for organisationens ­processer omkring data.

Anonymisering af data er ­nødvendigt
Personlige og følsomme data er ikke kun de formelle data som CPR-nummer og så videre, det gælder også alle de data, som opstår om kunder i deres dialog med virksomheden på internettet.

Peter Schjøtt nævner også eksempler på billeder og chat, som kan ligge i virksomhedens systemer, som meget vel kan sammenkædes med enkeltpersoner, og når de kan det, så gælder de samme regler. Organisationen skal således også have styr på, hvordan de sikrer sletning af disse data, og de skal kunne dokumentere processen.

”Et meget godt sted at starte er at få beskrevet, hvilke processer og sam­­­ar­bejdspartnere man har som organisation. Og hvem videregiver hvilke data? Forberedelserne til de nye regler er ikke bare fikset på tre-fire måneder. Min vurdering er, at det vil kræve en del mere tid end det, naturligvis alt efter hvilken type og størrelse organisation man er.”

Start med en plan
Peter Schjøtt understreger, at it-sikkerhed ikke er et spørgsmål om teknologi. Det er en blanding af processer og tek­nologi. Det er derfor langt fra nok at købe en ny ’dims’ for at dække sig ind. Det er i højere grad et spørgsmål om, hvorvidt du har en proces for, hvordan du behandler personlige data. It-governance – helt grundlæggende.

”En stor del af forberedelserne til de nye regler er almindelig best practice omkring it-governance. Find fx ud af, hvordan I starter på projektet. Få klarlagt arbejdsgange for, hvor data bliver delt og gemt i organisationen. Her behøver man indledningsvis ikke den store it-investe­ring. Lav en plan. Men lad være med at vente, for nogle tiltag vil med al sandsynlighed kræve et budget, som skal godkendes i 2015 for at kunne realiseres i 2016. Endelig er det en rigtig god idé at tale med nogen, som kan hjælpe med, hvad det er for nogle processer, man skal igennem,” afrunder Peter Schjøtt, der er meget begejstret for de kommende nye regler. For selvom det betyder nye arbejdsgange for uddannelsesinstitutioner og virksomheder generelt, så vil indsatsen højne sikkerheden markant og sikre elever som borgere bedre rettigheder omkring deres data.

Peter Schjøtt vurderer også, at det, der kommer til at gøre en markant forskel i forhold til i dag, er, at reglerne omkring håndhævelse bliver strammet kraftigt. Tidligere er man ikke blevet stillet til regnskab. Det betyder også, at forbered­elserne op til den nye EU-forordning vil være placeret helt oppe på direktions­niveau i organisationer som virksomheder, fordi konsekvenserne af ikke at følge de nye regler kan blive omkostningstunge, og fordi EU forordningen placerer ansvaret i ledelsen.

 

Hvordan skal din organisation forberede sig?
  • Gå i gang med forberedelserne allerede nu
  • Sørg for, at budgettet giver plads til nye tiltag
  • Dan jer et overblik over jeres processer omkring data
  • Hvis I er mere end 250 fuldtidsansatte, eller hvis I behandler tilstrækkelig mange personhenførbare data, skal I ansætte en person, der er databeskyttelsesansvarlig
  • Rådfør jer om, hvilke processer der skal kortlægges, og hvordan I nemmest kommer i gang
  • Reglerne træder sandsynligvis i kraft i første kvartal 2016, herefter forventes en indkøringsperiode på to år, hvor organisationer og virksomheder har mulighed for at forberede organisationen på de nye regler
De vigtigste forandringer for borgerne
  • Styrkelse af retten til at blive glemt. Når man som borger/forbruger ikke længere ønsker, at ens data skal anvendes, og der ikke er legitime årsager til at bevare dem, skal de kunne slettes. Formålet med reglerne er at give den enkelte styringen
  • Garanti for lettere adgang til borgerens egne data
  • Fastsættelse af den enkeltes ret til at overføre personoplysninger fra en tjenesteudbyder til en anden (dataportabilitet)
  • Organisationer og virksomheder skal have borgerens/forbrugerens til­ladelse til at anvende eller opbevare personhenførbare data
  • Øget ansvar og ansvarlighed ved behandling af personoplysninger