Mit Lederne

Magasinet

Det skal du vide om persondataforordningen

25. maj træder den nye EU-Persondataforordning i kraft. Virksomheder, organisationer, foreninger og offentlige myndigheder, der behandler personoplysninger, er alle underlagt den nye forordning. Her er nogle af de overvejelser, I skal gøre jer.

Tekst: Elisabeth Hamerik Schwarz  Foto: iStockphoto

D. 25. maj 2018 træder den nye EU-persondataforordning i kraft. I artiklen "Det skal du vide om - Persondataforordningen" fra Magasinet Lederne kan du læse et udpluk af de overvejelser, virksomheder som minimum skal gøre dig.

HVORFOR SKAL DET TIL?
De skærpede krav i forordningen er primært til for at beskytte borgerne, men på den positive front kan den også beskytte virksomheder mod hacking. It-sikkerhed er noget af det vigtigste for virksomheder i dag, men husk, at det ikke altid er de oplagte oplysninger, som hackerne er interesserede i. De er ikke nødvendigvis ude efter cpr-numre til brug ved identitetstyveri. Måske leder de efter en specifik adresse eller oplysning, så de kan rette deres ulovligheder mod en specifik person eller virksomhed. Derfor er det vigtigt, at der er styr på alle områder af sikkerheden. Ikke kun der, hvor de mest sensitive oplysninger er.

HVEM HAR ANSVARET?
Din virksomhed har ansvaret, hvis informationer, som ikke må komme videre, slipper ud. Det betyder, at der først og fremmest skal være styr på dataene. Klarlæg derfor jeres data: Hvor får I dem fra, hvad gør I med dem, hvor længe har I dem, hvilke data er der tale om, og deler I dem? Og hvordan håndterer I eksempelvis indsigtsretten, dataportabilitet og lignende?

HVORDAN HÅNDTERER VI NEDBRUD?
Som en del af den nye forordning vil der komme øget fokus på sikkerhedskrav til it-systemer. Hvis I bruger en ekstern databehandler, er det dog i første omgang vigtigst at se på, hvordan I håndterer det. Som virksomhed har I nemlig ansvaret, hvis jeres databehandler laver en fejl med jeres data. Få derfor databehandleraftalen ned på papir, og få styr på jeres forebyggelse og håndtering af brud på datasikkerheden.

HVOR MEGET UDDANNELSE SKAL DER TIL?
Medarbejderne skal også uddannes. Både i it-sikkerhed, så de ikke er lette ofre for hacking, men også i at håndtere dataene. Hvad må de gemme, videresende og bruge? Sørg for at have en klar politik på området, og træn jer selv og medarbejderne i at tænke over datahåndtering i dagligdagen, også når I lancerer et nyt produkt, laver omstruktureringer eller ændrer en arbejdsgang.

D. 25. maj 2018 træder den nye EU-persondataforordning i kraft. I artiklen "Det skal du vide om - Persondataforordningen" fra Magasinet Lederne kan du læse et udpluk af de overvejelser, virksomheder som minimum skal gøre dig.

HVEM SKAL HAVE EN DPO?
Alle offentlige myndigheder skal fra maj have en Databeskyttelsesrådgiver (Data Protection Officer, DPO). For private virksomheder er reglerne mere lempelige. Her er det et krav, hvis ens kerneaktivitet er behandling af personoplysninger, og det sker i et stort omfang, eller hvis aktiviteten består i systematisk og regelmæssig overvågning af personer og/eller behandling af følsomme data eller data om strafbare forhold.
Under alle omstændigheder bør I dog udpege en dataansvarlig, hvis I ikke allerede har en.

HVORDAN GRIBER VI DET AN?
Tænk over de data, jeres virksomhed har. Både for kunder og medarbejdere. Hvor lang tid gemmer I eksempelvis personfølsomme oplysninger ved rekruttering, og hvad nu hvis en medarbejder har forladt virksomheden, eller en ansat er gået på nedsat tid på grund af en psykisk diagnose?
Der er ikke faste regler for, hvor længe I må have oplysningerne gemt, men en god tommelfingerregel er, at dataene beskyttes godt og ryddes op i regelmæssigt, så det kun er de data, som skal gemmes, som gemmes. Som borger har man “retten til at blive glemt.” Så tag stilling, og dokumentér jeres beslutninger.

LÆS OGSÅ: Ledernes persondatapolitik - "Sådan beskytter vi dine data"

HVAD SKAL BESKYTTES?
Personoplysninger er ikke “bare” cpr-numre eller oplysninger om helbred, politisk overbevisning eller seksuelle forhold, men alle de oplysninger, der handler om en person, såsom telefonnummer, adresse og e-mail. Alt det er I fremover som virksomhed forpligtet til at beskytte. Gør jer derfor klart, på hvilket grundlag I behandler oplysningerne, om I har et samtykke, når der er behov for det, og om oplysninger til en tredjepart videreformidles og hvorfor. Almindelig markedsføring er naturligvis stadig tilladt, men gør jer ekstra overvejelser om eksempelvis samtykke og deling af data.

HVAD SKAL VI MERE OVERVEJE?
Det kan være en idé at overveje en sikker mail. Persondataforordningen handler nemlig ikke kun om de data, der går ud af huset, men også de, der veksles internt. En almindelig e-mail er en åben bog og kan hackes så let som ingenting. Det vil sige, både interne og eksterne e-mails bør beskyttes, så ingen udefrakommende kan kigge med. Virksomheden risikerer en bøde, hvis hackere stjæler informationer af personlig karakter – også selv om det “bare” er en adresse.

 

Artiklen har været bragt i Magasinet Lederne, april 2018. Magasinet er Ledernes medlemsmagasin og udkommer to gange årligt.

12 TJEKSPØRGSMÅL FRA DATATILSYNET
Ovennævnte er et udpluk af de overvejelser, virksomheder som minimum skal gøre sig. Et andet godt sted at starte er eksempelvis Datatilsynets “12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til.” De kan findes på Datatilsynet.dk

Kilde: Ulrik Frese, Jurist og Forskningschef i Lederne samt projektleder for Ledernes persondataforordnings-arbejdsgruppe.