Om Globeteam

Hvad betyder den nye EU persondatalovgivning for din kommune, og kan I sikkert benytte “Skyen”?

Ny skrap EU-datalov får konsekvenser for kommunerne. Men hvad kommer den nye persondataforordning til at betyde for kommunernes opbevaring og beskyttelse af persondata? Og er clouden sikker nok til lagring af personfølsomme data? Konsulent Jesper Krogh fra Globeteam giver et overblik over nogle af de centrale regler og giver forslag til ”selvhjælps” værktøjer.

I dag ligger der store mængder af følsomme persondata i kommunernes fagsystemer, som er bundet op til den nuværende persondatalov. Inden den nye EU persondataforordning træder i kraft om godt to år og erstatter den nuværende persondatalov skal kommuner og de virksomheder, der beskæftiger sig med persondata, sikre, at de efterlever forordningens nye og skærpede krav.

Kommunerne kommer med andre ord til at bruge ressourcer på at forberede sig på at kunne efterleve persondataforordningen, så borgernes tillid til kommunen og deres behandling af i mange tilfælde følsomme personoplysninger ikke mistes.

Nogle af principperne i persondataforordningen er:

  • Skærpet krav til dokumentation for samtykke
  • Styrkelse af den registreredes rettigheder
  • Right-to-be-forgotten (retten til at blive glemt)
  • Risikobaseret krav om privacy by design og privacy by default
  • Risikobaseret krav om, at virksomheden/myndigheden skal kunne dokumentere, at man overholder reglerne (accountability)
  • Pligt til at orientere Datatilsynet og i nogen tilfælde også de registrerede i tilfælde af datasikkerhedsbrister (hackerangreb mv.)
  • Data Protection Officer i offentlige myndigheder og visse private virksomheder
  • Bøder på op til 4% af global årlig omsætning

Ansvaret for beskyttelse af data ligger hos kommunen, da de er dataansvarlige. Dette ansvar kan ikke fraskrives eller outsources. Det er op til det enkelte land at beslutte om offentlige instanser vil få bøder for ikke at overholde lovgivningen, og fra dansk side har man meldt ud, at det er anses for grundlovsstridigt. Med den kommende EU persondataforordning skærpes sanktionsmulighederne  mod kommercielle virksomheder, og bødeniveauet stiger her markant og kan få konsekvenser for virksomhedens økonomi.

Den nye persondataforordning vil stille større krav til, at kommunen forholder sig til, hvilke personoplysninger, der behandles i organisationen, og at de i vid udstrækning indfører en forhøjet egenkontrol og dokumentation af kommunens datastrømme.

Dette kræver imidlertid grundig forberedelse og dialog med organisationen om, hvordan man skal arbejde fremadrettet. Hvordan opnår man det fornødne overblik over, hvilke personoplysninger der behandles i kommunen? Hvordan dokumenterer man, at kommunen opfylder reglerne? Hvordan involverer man forretningsområder i kommunen, og hvor er det mest optimalt at forankre arbejdet med persondata, herunder stillingen som Data Protection Officer (DPO), så kommunen succesfuldt implementerer og efterlever forordningen?

Office 365 og krav om udarbejdelse af databehandleraftaler

Har man som kommune valgt at outsource databehandlingen til en tredjepart, eller opbevare persondata i en cloud-løsning er det vigtigt at skabe sig et overblik over, hvilke eksterne partnere, der er tale om – og om kommunen har indgået de lovpligtige aftaler med de databehandlere, der behandler personfølsomme oplysninger på kommunens vegne[1].

For har man som kommune ikke indgået de såkaldte databehandleraftaler, eller er kommunens aftaler utilstrækkelige, bør man forholde sig til dette med det samme og få udarbejdet og opdateret aftalerne.

Ser vi på Microsoft er de underlagt EU-Kommissionens standardkontrakt bestemmelser (EU Modelclauses). Standardkontrakter omkring Office 365 er således underlagt denne, og betyder at Microsoft er forpligtet til at underlægge sig kravene, som databehandler.

Persondataforordningen vil ikke medføre, at cloud baserede ydelser som Office 365 ikke kan benyttes fremover – men den digitale udvikling, hvor rigtig mange data sendes over internettet gør udfordringerne med at beskytte persondata meget større, og betyder, at kommunen i højere grad skal forholde sig til, hvorledes data opbevares og behandles, samt at kommunen har udarbejdet databehandleraftaler, og at disse er fyldestgørende.

Dette arbejde kan for mange kommuner blive væsentligt lettere ved brug af de compliance værktøjer, der findes indbygget i Office 365, og som skal konfigureres til at overholde reglerne. Tilsvarende regler har i længere tid været gældende i USA, hvorfor de teknologiske muligheder allerede findes i Office 365 og med stor fordel kan bringes i anvendelse.

Selvhjælps værktøjer

Der findes flere ”selvhjælps” værktøjer, som kommunen kan benytte for at teste om man lever op til gældende lovkrav, og hvad der skal arbejdes videre med, hvis kommunen ønsker at forberede sig til den kommende EU persondataforordning:

 Awareness og forankring af persondataforordningen

Med skærpelsen af fremtidens krav til kommunens behandling af personfølsomme data er den organisatoriske forankring af persondataforordningen meget vigtig, så kommunens ledelse og udvalgte medarbejdere herunder DPO’en succesfuldt kan efterleve lovgivningen. KL slår bl.a. til lyd for dette.

Chefkonsulent hos KL, Pernille Jørgensen har i et interview med Version2, udtalt følgende:

»Når noget går galt i forhold til datasikkerheden i kommunerne – hvilet heldigvis sjældent sker – handler det typisk om medarbejdere, som ikke kender til, eller har glemt, reglerne i persondataloven og sikkerhedsbekendtgørelsen. Med andre ord: at der ikke er tilstrækkelig kendskab til de regler, vi allerede har.«

»Vi synes derfor langt hellere, man skal bruge kræfterne og pengene på at opgradere kompetencerne hos de ansatte i kommunerne, der arbejder med persondata, så der bliver mere opmærksomhed på persondatabeskyttelsen. Langt hen ad vejen har vi allerede i dag nogle fornuftige databeskyttelsesregler, som blot mangler at blive ‘tunet’ til de nye digitale muligheder som f.eks. datagenbrug,« udtales if. med denne artikel

 

[1] https://www.datatilsynet.dk/erhverv/dataansvarlig-databehandler/hvornaar-er-man-henholdsvis-dataansvarlig-og-databehandler/

Nyheder
Koncepter

Kommunal benchmark analyse

Globeteam tilbyder at gennemføre en benchmark analyse, der afdækker, hvor godt din kommune er forberedt til at høste gevinsterne af den forsatte digitalisering.

Cases

Lifetime – Single sign-on med Facebook

Lifetime er en af Storbritanniens største udbydere af offentligt støttede uddannelses- og træningsforløb til […]

Globeteam tilbyder ydelser inden for og på tværs af tre hovedområder

Business model

skab sammenhæng mellem it og forretning

Globeteam hjælper dig med at optimere værdien af dine it-løsninger ved at sikre, at de understøtter forretningens

strategi og vision

Optimer og moderniser din
IT-INFRASTRUKTUR 

Globeteam sikrer dig en velfungerende it-infrastruktur, så du opnår en mere stabil drift og øget medarbejdereffektivitet

understøt forretningen med en skræddersyet it-løsning

Globeteam tilbyder assistance til at udvikle eller tilpasse it-løsninger, som møder forretningens specifikke behov


Er du Interesseret i at høre mere?

Navn:

E-mail:

Virksomhed:

Emne :

Optimer din forretning og dine it-investeringer

Er du interesseret i at vide mere om Globeteams ydelser, og hvordan vi kan hjælpe netop din forretning?