Med EU’s nye persondataforordning bliver der stillet store krav til offentlige myndigheder og virksomheders håndtering af personoplysninger. Følger man ikke forordningen, vanker der store bøder.
Mange virksomheder har hidtil ikke betragtet det som et must at passe godt på persondata. Det har ikke været regnet som et forretningskritisk område, og er derfor ofte blevet forsømt. Med den nye EU persondataforordning er det bydende nødvendigt at sadle om. Der skal styr på data-flowet, og der skal iværksættes effektive kontroller, så det kan dokumenteres, at virksomheden behandler personoplysninger ansvarligt.
”Forordningen om beskyttelse af personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger” eller mere mundret ”EU Persondataforordningen” har været længe undervejs. EU-Kommissionen fremsatte et forslag tilbage i 2012, og det seneste år har der været indgående forhandlinger mellem Europa-Parlamentet, Ministerrådet og EU-Kommissionen. Den 15. december 2015 landede man så omsider et kompromis, der skaber en sammenhængende og moderne databeskyttelseslovgivning for alle lande i EU. Den nye EU-forordning får stor betydning for både offentlige myndigheder og virksomheder.
Hvem er omfattet?
Forordningen gælder for alle, der behandler persondata - uanset om de er dataansvarlige eller alene behandler data på vegne af andre (databehandlere). Det er nyt i forhold til den nuværende persondatalov. Også virksomheder, der er etableret uden for EU, er omfattet af den nye forordning, når de tilbyder tjenester i EU.
Der er tale om ganske væsentlige ændringer på det persondataretlige område, som har til formål at give borgerne kontrol over deres personlige data og styrke datatilsynene i medlemslandene. Noget af det, der har fået mest omtale i medierne ved den nye forordning, er størrelsen på bøderne for ikke at følge den. Overtrædes reglerne for databeskyttelse, kan man få bøder på op til fire procent af den globale, årlige koncernomsætning. Det bør få de fleste til at tage forordningen alvorligt.
Hvad er nyt?
Den nye persondataforordning får især store konsekvenser på tre områder. De, der behandler persondata, får et betydeligt større ansvar, borgerne får flere rettigheder, og de nationale datatilsyn får skærpede muligheder for at håndhæve loven. Her et udpluk af de vigtigste elementer:
- Strengere krav til registrering og behandling af personoplysninger. Virksomhederne bliver underlagt specifikke regler, som skal sikre en større transparens i håndteringen af personoplysningerne.
- Kravene til dokumentation skærpes. Tekniske og organisatoriske sikkerhedsforanstaltninger skal dokumenteres, og der skal udarbejdes en konsekvensanalyse for databeskyttelsen.
- Privatpersoner skal have mere information om, hvordan deres oplysninger bliver behandlet og anvendt. Informationen skal være tilgængelig på en klar og forståelig måde, og privatpersoner har ’ret til at blive glemt’ i en søgemaskines resultatliste.
- Der kommer flere begrænsninger på, hvad der kan registreres om den enkelte person. Det gælder blandt andet på områder som økonomi, livsstil og sociale forhold. Desuden skal forældre samtykke, når deres børn bruger sociale medier.
- Der er underretningspligt, hvis der sker alvorlige brud på datasikkerheden. Underretningen skal ske inden for 72 timer - til de nationale datatilsyn.
- Tilsynsmyndighederne skal centraliseres, så virksomhederne alene skal have kontakt med én enkelt tilsynsmyndighed. Endvidere større samarbejde imellem EU’s tilsynsmyndigheder og mere ensartede afgørelser.
- Man får en risiko-baseret tilgang, hvor forpligtelserne er tilpasset de reelle risici. Det er dog et krav, at man skal kunne dokumentere, at virksomheden overholder regelsættet.
Ikke meget tid til at blive klar
Virksomhederne har to år til overgå til de nye krav, så det er bestemt ikke for tidligt at påbegynde det forberedende arbejde. Første skridt er naturligvis at sætte sig grundigt ind i, hvad den nye dataforordning betyder for netop din virksomhed. Hvilke krav skal I leve op til fremover - og hvilke indsatser skal iværksættes for at nå i mål til tiden? I skal kort sagt have en køreplan på plads.
Et sted at starte er at få et overblik over de områder, hvor I ikke allerede overholder kravene i forordningen. Her kan en screening af jeres nuværende processer og måder at håndtere data på være en god start. DNV GL har udviklet en screening med udgangspunkt i de væsentligste emner i dataforordningen, der giver jer et overblik over de indsatsområder, hvor I skal gøre noget anderledes eller etablere nye rutiner og kontroller for ikke at overtræde reglerne. Med udgangspunkt i screeningen kan I gå i gang med et fylde hullerne ud, så virksomheden ikke risikerer bøder.
Få styr på data med ISO 27001
En lang række virksomheder vil have brug for, at indføre en mere systematisk tilgang til håndtering af data for at sikre informationssikkerheden. Det gælder for eksempel alle virksomheder, der håndterer data for andre eller håndterer mange persondata. For eksempel hostingvirksomheder, IT-virksomheder, banker, forsikringsselskaber, web-shops mv. For slet ikke at tænke på alle de mange medlemsbaserede virksomheder vi har i Danmark som fagforeninger, sportsforeninger, vælgerforeninger, ejer- og boligforeninger for bare at nævne nogen, der håndterer en stor mængde af persondata. ISO 27001 er den gældende internationale sikkerhedsstandard for alle, der tager deres it-sikkerhed alvorligt. Den leverer et komplet ledelsessystem til informationssikkerheden, som ikke alene beskytter virksomhedens data, men som også giver jer et værdifuldt blåstempel over for kunder og kontrolinstanser.
Standarden tager udgangspunkt i den enkelte organisations risikoprofil og lægger op til, at man implementerer netop de sikkerhedsforanstaltninger og kontrolprocedurer, der skal til for, at jeres data er beskyttet. Begrebet informationssikkerhed dækker over alle informationer. Men det omfatter også jeres fysiske rammer og fysiske dokumenter, fx aftaler og ansættelseskontrakter.
Standarden indeholder en liste over de kontroller, I kan indføre, for at opnå et passende sikkerhedsniveau. Men listen ikke er udtømmende, så der kan udmærket være behov for andre kontroller end dem, der er nævnt og alt efter virksomhedens størrelse og risici er der måske noget i kan undvære.
Bedre overblik giver forretningsfordele
Herhjemme er ISO 27001 obligatorisk for samtlige statslige institutioner, men også it-leverandører til staten skal leve op til forskrifterne. Den giver dig et grundigt fundament til at leve op til den nye EU-dataforordning - både som metode i planlægningsfasen, som kontrolsystem med de nødvendige procedurer og ikke mindst som dokumentationsredskab over for kontrolinstanserne.
Der er ingen vej udenom EU’s nye persondataforordning, og hvorfor ikke se det som en unik mulighed for at få helt styr på jeres data? Det kan give jer væsentlige driftsmæssige og strategiske fordele og kan meget vel blive et reelt konkurrenceparameter. Så grib udfordringen og sørg for, at jeres virksomhed får branchens bedste ’Digital Responsibility’ politik.
