Om Globeteam

Hvad betyder den nye EU-persondatalovgivning, og kan I sikkert benytte “Skyen”?

Ny skrap EU-datalov får konsekvenser for virksomheder og organisationer. Men hvad kommer den nye persondataforordning til at betyde for opbevaring og beskyttelse af persondata? Og er clouden sikker nok til lagring af personfølsomme data? Konsulent Jesper Krogh fra Globeteam giver et overblik over nogle af de centrale regler og giver forslag til ”selvhjælpsværktøjer”.

I dag ligger der store mængder af følsomme persondata i virksomhedernes fagsystemer, som er bundet op til den nuværende persondatalov. Inden den nye EU-persondataforordning træder i kraft i 2017 og erstatter den nuværende persondatalov, skal kommuner, virksomheder og organisationer, der beskæftiger sig med persondata, sikre, at de efterlever forordningens nye og skærpede krav.

Virksomheder og organisationer kommer med andre ord til at bruge ressourcer på at forberede sig på at kunne efterleve persondataforordningen, så kunder og brugeres tillid til virksomhederne og deres behandling af i mange tilfælde følsomme personoplysninger ikke mistes.

Nogle af principperne i persondataforordningen er:

  • Skærpet krav til dokumentation af samtykke
  • Styrkelse af den registreredes rettigheder
  • Right-to-be-forgotten (retten til at blive glemt)
  • Risikobaseret krav om privacy by design og privacy by default
  • Risikobaseret krav om, at virksomheden/myndigheden skal kunne dokumentere, at man overholder reglerne (accountability)
  • Pligt til at orientere Datatilsynet og i nogle tilfælde også de registrerede i tilfælde af datasikkerhedsbrister (hackerangreb mv.)
  • Data Protection Officer i offentlige myndigheder og visse private virksomheder
  • Bøder på op til 4 % af global årlig omsætning

Ansvaret for beskyttelse af data ligger hos den enkelte virksomhed eller organisation. Dette ansvar kan ikke fraskrives eller outsources. Det er op til hvert land at beslutte, om offentlige instanser vil få bøder for ikke at overholde lovgivningen, og fra dansk side har man meldt ud, at det anses for grundlovsstridigt. Med den kommende EU-persondataforordning skærpes sanktionsmulighederne mod kommercielle virksomheder, og bødeniveauet stiger her markant og kan få konsekvenser for virksomhedens økonomi.

Den nye persondataforordning vil stille større krav til, at virksomhederne forholder sig til, hvilke personoplysninger der behandles i organisationen, og at de i vid udstrækning indfører en forhøjet egenkontrol og dokumentation af deres datastrømme.

Dette kræver imidlertid grundig forberedelse og dialog med organisationen om, hvordan man skal arbejde fremadrettet. Men hvordan opnår man det fornødne overblik over, hvilke personoplysninger der behandles i organisationen? Hvordan dokumenterer man, at reglerne overholdes? Hvordan involverer man forretningsområder i organisationen? Og hvor er det mest optimalt at forankre arbejdet med persondata, herunder stillingen som Data Protection Officer (DPO), så virksomheden succesfuldt implementerer og efterlever forordningen?

Office 365 og krav om udarbejdelse af databehandleraftaler

Har man valgt at outsource databehandlingen til en tredjepart eller at opbevare persondata i en cloud-løsning, er det vigtigt at skabe sig et overblik over, hvilke eksterne partnere der er tale om – og om virksomheden har indgået de lovpligtige aftaler med de databehandlere, der behandler personfølsomme oplysninger på vegne af den.

Læs mere om, hvornår du er henholdsvis dataansvarlig og databehandler her

For har man ikke indgået de såkaldte databehandleraftaler, eller er virksomhedens aftaler utilstrækkelige, bør man forholde sig til dette med det samme og få udarbejdet og opdateret aftalerne.

Ser vi på Microsoft, er de underlagt EU-Kommissionens standardkontraktbestemmelser (EU Model Clauses). Standardkontrakter vedrørende Office 365 er således underlagt disse, og det betyder, at Microsoft er forpligtet til at underlægge sig kravene som databehandler.

Persondataforordningen vil ikke medføre, at cloudbaserede ydelser som Office 365 ikke kan benyttes fremover – men den digitale udvikling, hvor mange data sendes over internettet, gør udfordringerne med at beskytte persondata meget større, og det betyder, at virksomheder og organisationer i højere grad skal forholde sig til, hvorledes data opbevares og behandles, samt at der er udarbejdet fyldestgørende databehandleraftaler.

Dette arbejde kan for mange virksomeder blive væsentligt lettere ved brug af de compliance-værktøjer, der findes indbygget i Office 365, og som skal konfigureres til at overholde reglerne. Tilsvarende regler har i længere tid været gældende i USA, hvorfor de teknologiske muligheder allerede findes i Office 365 og med stor fordel kan bringes i anvendelse.

Selvhjælpsværktøjer

Der findes flere ”selvhjælpsværktøjer”, som organisationer og virksomheder kan benytte for at teste, om de lever op til gældende lovkrav, og hvad der skal arbejdes videre med, hvis de ønsker at forberede sig til den kommende EU-persondataforordning. Se fx:

 Awareness og forankring af persondataforordningen

Med skærpelsen af fremtidens krav til organisationers behandling af personfølsomme data er den organisatoriske forankring af persondataforordningen vigtig, så ledelse og udvalgte medarbejdere, herunder DPO’en, succesfuldt kan efterleve lovgivningen. KL slår bl.a. til lyd for dette i forbindelse med landet kommuner.

Chefkonsulent hos KL, Pernille Jørgensen har i et interview med Version2, udtalt følgende:

»Når noget går galt i forhold til datasikkerheden i kommunerne – hvilket heldigvis sjældent sker – handler det typisk om medarbejdere, som ikke kender til, eller har glemt, reglerne i persondataloven og sikkerhedsbekendtgørelsen. Med andre ord: at der ikke er tilstrækkelig kendskab til de regler, vi allerede har.«

»Vi synes derfor langt hellere, man skal bruge kræfterne og pengene på at opgradere kompetencerne hos de ansatte i kommunerne, der arbejder med persondata, så der bliver mere opmærksomhed på persondatabeskyttelsen. Langt hen ad vejen har vi allerede i dag nogle fornuftige databeskyttelsesregler, som blot mangler at blive ‘tunet’ til de nye digitale muligheder som f.eks. datagenbrug,«

Læs hele interviewet her

 

Vil du vide mere om, hvordan Globeteam kan klæde din organisation på til den nye dataforordning?
Så kontakt:

Henrik Gissel Szokody
Mobil: +45 4245 8797
E-mail: hgs@globeteam.com
Peder Lind Sørensen
Mobil: +45 3074 7474
E-mail: pls@globeteam.com
Nyheder


Koncepter

Kommunal digitalisering

Globeteam har dyb indsigt i alle aspekter omkring den kommunale digitalisering, og har meget kompetente strategiske og tekniske konsulenter, der kan hjælpe kommunerne hele vejen.
Cases

PensionDanmark – Sikker adgang til pensionsoplysninger

Det er PensionDanmarks ønske, at det skal være så nemt som muligt for medlemmerne […]

Få vores nyhedsbrev

Modtag de seneste nyheder fra Globeteam og bliv inspireret af spændende kundehistorier

Globeteam tilbyder ydelser inden for og på tværs af tre hovedområder

Business model

skab sammenhæng mellem it og forretning

Globeteam hjælper dig med at optimere værdien af dine it-løsninger ved at sikre, at de understøtter forretningens

strategi og vision

Optimer og moderniser din
IT-INFRASTRUKTUR 

Globeteam sikrer dig en velfungerende it-infrastruktur, så du opnår en mere stabil drift og øget medarbejdereffektivitet

understøt forretningen med en skræddersyet it-løsning

Globeteam tilbyder assistance til at udvikle eller tilpasse it-løsninger, som møder forretningens specifikke behov


Er du Interesseret i at høre mere?

Navn:

E-mail:

Virksomhed:

Emne :

Optimer din forretning og dine it-investeringer

Er du interesseret i at vide mere om Globeteams ydelser, og hvordan vi kan hjælpe netop din forretning?