Undgå bøde på 4% af din virksomheds globale årlige omsætning – kend persondataforordningen


17 år er gået, siden vi indførte persondataloven fra år 2000. Den lovgav om, hvornår og hvordan personoplysninger skulle behandles, og som hovedregel gjaldt den for al elektronisk behandling af personoplysninger.

Det er nu snart to årtier siden, og store mængder persondata er løbet gennem åen, og mange både offentlige og private aktører har et hav af oplysninger liggende om dig – både personlige oplysninger som dit navn, alder og bopæl, men også personfølsomme som f.eks. fagforeningsmæssige tilhørsforhold eller helbredsoplysninger.

InfinIT – Innovationsnetværk for IT, Business Ballerup og dansk it inviterede til gå-hjem-møde om persondataforordningen den 2. marts 2017, og hvad virksomhederne konkret skal være opmærksomme på, når den træder i kraft den 25. maj 2018.

Det, der særligt trak overskrifter, var de nye bødeniveauer, så lad os starte med at introducere dem (bødestørrelsen afhænger af overtrædelsen):

  • Op til 10.000.000 € eller 2% af virksomhedens globale årlige omsætning.
  • Op til 20.000.000 € eller 4% af virksomhedens globale årlige omsætning.


Hvad skal l være klar over?

Sammenlignet med persondataloven er nyhederne i persondataforordningen et skærpet bødeniveau, skærpede krav til overblik over virksomheders behandling af personoplysninger, skærpede krav til dokumentation, skærpede krav til virksomhedens organisatoriske og tekniske foranstaltninger, at virksomheder bør udpege en data protection officer, at de har pligt til at anmelde brud på datasikkerhed, at databehandlere får et selvstændigt ansvar, og at der er ændrede regler for grænseoverskridende behandlinger.

Som grundregel er behandling af personoplysninger ulovlige, medmindre der er et lovligt grundlag til behandling i persondataforordningen. I skal altså have et lovligt formål med et indsamle data. Derudover skal oplysninger slettes, når formålet med de indsamlede data er opfyldt. For at imødekomme dette anbefaler lektor Thomas Hildebrandt fra ITU agil formålsorienteret kortlægning. Metoden bygger på at definere formål, opgaver, roller, konditioner og databehandling. Det giver jer mulighed for overvågning og proaktiv compliance.

Hvordan kan vi bære os ad?

I skal først og fremmest sætte jer ind i reglerne og få et overblik over, hvilke data I behandler. Dernæst skal I udpege en intern dataansvarlig, der bestemmer, hvad formålet med de indsamlede data er. Det vil gøre jer i stand til at udarbejde procedurer, dokumentere behandling af data og få styr på sikkerheden.

Frederik Helweg-Larsen fra Devoteam, der hjælper virksomheder med at løse de praktiske aspekter af udfordringer med at implementere persondataforordningen var også tilstede på dagen. Devoteam har identificeret 7 principper i persondataforordningen. Disse er lovlighed, formålsbegrænsning, dataminimering, rigtighed, opbevaringsbegrænsning, ansvarlighed, integritet og fortrolighed. Frederik Helweg-Larsen anbefaler, at man betragter persondataforordningen som færdselsregler, og siger:

”Vi har at gøre med færdselsregler på området for persondata. Vores råd er – fortab jeg ikke i detaljer, følg de 7 principper, og brug ikke den største indsats på at gå ned i paragrafferne.”

Data protection by design

Formålet med ordningen er at give større beskyttelse af borgerne - især børn, at ensrette lovgivningen og give den en generel opdatering. Forordningen lægger op til databeskyttelse gennem design - data protection by design - dvs. at databeskyttelsen skal designes ind i løsningen. Det betyder, at I fra start af, skal have tænkt beskyttelse af persondata ind i jeres produkt, løsning eller lign.

Oplægsholder på dagen Gert Læssøe Mikkelsen, sikkerhedsekspert i Alexandra Instituttet, anbefaler, at I gør kryptering til standard når I transporterer data, f.eks. når I sender en e-mail, at I anonymiserer jeres data, så I fjerner muligheden for at identificere enkeltpersoner i datasæt, og at l benytter jer af pseudonymisering. Pseudonymisering betyder, at I ændrer dele af identificerbar data om en given person, så f.eks. personnummer erstattes af en kode, men denne kode kan genfindes på en separat liste, hvor koblingen mellem koden og personnummeret fremgår.

Dagen blev afsluttet med en plenumdiskussion, hvor de deltagende var enige om, at det handler om at skabe en god datakultur, at tænke hele vejen rundt om ens processer og data samt at indføre nye tankegange i behandlingen af data og at bruge sin sunde fornuft

Et lignende arrangement blev gentaget den 26. april i Ballerup.

Se datatilsynets tjekliste for persondataforordningen her

Kontakt



Faglig koordinator

Thomas Hildebrandt
IT-Universitetet
Tlf.: +45 72 18 52 79
E-mail

 



Faglig koordinator
Ivan Aaen
Aalborg Universitet
Tlf.: +45 99 40 89 11
E-mail

 

Facilitator
Jørgen Biegel
Aalborg Universitet
Tlf.: +45 96 35 45 65
E-mail

 

Se slides fra gå-hjem-mødet her

 

InfinIT er finansieret af en bevilling fra Styrelsen for Forskning og Uddannelse og drives af et konsortium bestående af:
Alexandra Instituttet . BrainsBusiness . CISS . Datalogisk Institut, Københavns Universitet . DELTA . DTU Compute, Danmarks Tekniske Universitet . Institut for Datalogi, Aarhus Universitet . IT-Universitetet . Knowledge Lab, Syddansk Universitet . Væksthus Hovedstadsregionen . Aalborg Universitet