Bliv helt klar til den nye persondataforordning

Det handler om at skabe tillid til, at virksomheder og myndigheder behandler persondata korrekt. Men der begynder at opstå travlhed, hvis man skal nå i mål omkring de nye regler. Her får du fire gode råd, som gør det nemmere at blive klar til den nye forordning.

Torsdag er der præcis ét år til, at EUs nye forordning om persondata træder i kraft. Det er en forordning, som har konsekvenser for både offentlige myndigheder og samtlige danske virksomheder, som kan blive ramt af massive bøder, hvis man ikke behandler personoplysninger korrekt.

Problemet er, at de færreste virksomheder og myndigheder lige nu er klar til den nye forordning. Det gode er til gengæld, at langt de fleste stadig kan nå at blive klar til 25. maj 2018. Det vurderer Jakob Joensen, som er konsulentchef i Neupart Information Security Advisory i it-virksomheden KMD.

Den nye forordning kaldes for EU Databeskyttelsesforordningen, men er tidligere blevet kaldt EU Persondataforordningen. ”Den dækker alle typer af data med specifikke krav til det, som er såkaldt personhenførbart, altså data som kan henføres til en person,” forklarer Jakob Joensen.

Den nye forordning erstatter den nuværende persondatalov fra 2000. Blandt de nye tiltag er, at virksomheder og myndigheder skal dokumentere, at de behandler persondata korrekt – og at der er potentielt voldsomme sanktioner, hvis man ikke følger reglerne, ligesom borgere kan rette et erstatningskrav, hvis oplysninger fx bliver delt.

Retten til at blive glemt

Der er også krav om, at børn under 13 år ikke kan give samtykke til behandling af persondata online, større organisationer skal udpege en såkaldt DPO, en Data Protection Officer, og så får alle retten til at blive glemt eller ”the right to be forgotten”. Det vil sige, at man kan kræve at få slettet persondata hos virksomheder og myndigheder med mindre disse har en legitim grund til at beholde disse data. Så man kan desværre aldrig blive slettet i Skat.

Dem, som potentielt bliver ramt hårdt af forordningen er virksomheder, der har en merkantil tilgang til data. Altså de virksomheder, som bruger data og samler oplysninger om din færden på nettet og profilerer dig i forhold til fx reklamer.

Jakob Joensen, konsulentchef i Neupart Information Security Advisory i KMD

”Dem, som potentielt bliver ramt hårdt af forordningen er virksomheder, der har en merkantil tilgang til data. Altså de virksomheder, som bruger data og samler oplysninger om din færden på nettet og profilerer dig i forhold til fx reklamer. Det har ikke været voldsomt reguleret tidligere, men de skal også dokumentere deres adfærd,” siger Jakob Joensen.

”Forordningen handler jo om personers integritet og egen viden om sig selv. Persondata må kun samles, hvis et lovgrundlag er i orden eller via et samtykke eller en kontrakt, fx en ansættelseskontrakt. Endelig kan man have en legitim grund til at beholde data, hvis en person fx skylder penge til en virksomhed,” forklarer han.

Fritekst-felter er en potentiel fare

365 dage før forordningen træder i kraft er det vurderingen, at de private virksomheder generelt har styr på de officielle og kontrollerede områder, som fx kontrakter og lovgivning.

”Virksomhederne ved godt, at de indsamler informationer om kunder, fordi de skal bruge dem til et eller andet. Det kan fx være kontonumre, navn og adresse, som skal bruges for at levere en vare. Der, hvor en del af virksomhederne har et problem er, når de begynder at registrere andre ting på kunden, som kunden ikke ved,” siger Jakob Joensen.

Et eksempel kunne være en note om, at kunden er syg, så man skal kontakte en anden i firmaet, altså en personlig helbredsoplysning, som en virksomhed typisk ikke har ret til at registrere.

”Problemet opstår alt for ofte i et fritekst-felt i virksomhedens CRM-system, hvor man kan skrive ting ned, som kan virke rare at have noteret. Men de bliver registreret i et større system, hvor alle medarbejdere måske kan læse dem, og det er ikke godt,” siger Jakob Joensen og fortsætter: ”Hvis man ikke har samtykke fra en kunde, hvor er så den legitime grund til at opbevare fx helbredsoplysninger eller en ægtefælles fødselsdato? Den findes nok ikke.”

”På nogle områder kan man ikke undvære de fritekst-felter. Her kommer uddannelse af medarbejderne i spil. Det er vigtigt, at de ved, hvad de skal bruge oplysninger til – og hvad de ikke skal,” siger han.

Alle har udfordringer lige nu

Jakob Joensen vurderer, at stort set alle virksomheder har potentielle udfordringer på dette område, fordi man ikke har fuld kontrol over sine data. Så er spørgsmålet bare, om man kan nå at få styr på tingene inden for det næste år.

”Det er jo et spørgsmål om ressourcer. Men man kan i hvert fald nå så langt, at man får et overblik over, hvad man har af data, hvordan data ser ud, hvad de bliver brugt til, og hvad man mangler at få klarhed over. Det kan man godt nå på et år,” siger Jakob Joensen.

”Det stiller krav til den dataansvarlige, fx en virksomhed eller en kommune, og databehandleren, fx en ekstern leverandør af it-systemer. Hvad skal vi have styr på? Hvad skal vi registrere? Hvad er vores ansvar? Det kan man godt løfte nu, mens det kan blive svært, hvis man skal nå at bygge helt nye it-strukturer op,” siger han.

Han vurderer, at meget regulerede brancher som banker og forsikringer har styr på de nye regler, men at de også kan have udfordringer på kundeserviceområde, hvor en medarbejder ofte har et fritekst-felt eller to, hvor man kan ende med at taste oplysninger ind, som man potentielt ikke har ret til at beholde.

Det offentlige er tættere på målet

Når det gælder de offentlige myndigheder, vurderer Jakob Joensen, at de generelt er længere med arbejdet med den nye forordning end de private virksomheder.

Dem, der følger spillereglerne i dag, de er jo næsten i mål. Men de skal så dokumentere, at de har styr på tingene, og det arbejde kan godt tage noget tid.

Jakob Joensen, konsulentchef i Neupart Information Security Advisory i KMD

”De offentlige myndigheder har stadig mulighed for at nå helt i mål det næste år. De ved jo godt, hvorfor de behandler data, fordi de typisk har en forvaltningsskik, hvor de arbejder ud fra en lovgivning. Dem, der følger spillereglerne i dag, de er jo næsten i mål. Men de skal så dokumentere, at de har styr på tingene, og det arbejde kan godt tage noget tid,” siger Jakob Joensen.

Det er endnu uklart, om offentlige myndigheder kan blive ramt af de samme økonomiske sanktioner, som i værste fald kan koste private virksomheder op til 4 procent af deres globale omsætning. De potentielt voldsomme sanktioner skal sikre, at persondata bliver behandlet ordentligt.

Her er fire gode råd, som kan gøre det nemmere at blive klar til den nye forordning, uanset om man er en virksomhed eller en myndighed. Nogle ting kan man sagtens selv få styr på, andre kan det være en god ide at få hjælp til.

1. Få styr på, hvad I har af oplysninger – og hvorfor I har dem

I har måske registreret persondata i form af en ansættelseskontrakt, eller der kan være et lovkrav om visse oplysninger, eller I har et samtykke fra en kunde. I kan også have en anden og legitim grund til at opbevare oplysninger, fx fordi en kunde har en garanti, som ikke er udløbet. Men hvis I ikke længere ved, hvorfor I har oplysningerne, skal I måske ikke have dem. Hvad er der tastet ind i diverse fritekst-felter i jeres CRM? Hvorfor har I de oplysninger, og hvor længe skal I beholde dem? Hvis de ikke er relevante længere, så få dem slettet.

2. Skaf viden om adgang til oplysningerne og sikkerheden

Adgangsstyring er en klassisk it-disciplin: Hvem kan få adgang til de oplysninger, I har registreret? Er det alle i afdelingen eller huset eller også kunder og samarbejdspartnere – eller er det kun de personer, som skal bruge oplysningerne? Hvor god er sikkerheden omkring jeres oplysninger? Kræves der fx login, eller har en administrator adgang til alt? Det er også afgørende at vide, hvem der faktisk har brugt oplysningerne – og til hvad.

3. Brug eksisterende standarder for informationssikkerhed

Hvis man allerede arbejder med fx ISO-standarder, har man allerede et godt framework for at få styr på den nye forordning. Så er det afgørende at have fokus på behovet for persondatabeskyttelse, ligesom man fx beskytter patenter. Har man allerede styr på den slags, kan man genbruge de standarder, man allerede har.

4. Sørg for at uddanne medarbejderne i de nye regler

Hvad har I af oplysninger, hvorfor har I dem, hvem har adgang til dem? Det skal de nødvendige medarbejdere undervises i. Det er afgørende, at medarbejderne ved, at der skal være en grund til at opbevare persondata – og at de skal slettes, hvis man ikke har den grund. Det kræver også en respekt for, at man kun skal have adgang til det, man skal bruge og ikke alt muligt andet. Der er tale om persondata, som er reguleret ved lov og kan have konsekvenser både for medarbejderne og for borgere eller kunder, hvis man ikke passer godt på deres oplysninger. Grundlæggende handler det om at uddanne medarbejderne, så man kan have tillid til, at oplysningerne bliver behandlet ordentligt.

Eksempler på oplysninger, som ikke er relevante at gemme

Jeres firma har monteret vinduer i et hus. I har noteret, hvorfor kunden ønskede nye vinduer, at nøglen ligger under måtten, at kundens søn lider af en alvorlig sygdom, og at manden er meget besværlig. Nogle af oplysningerne var måske relevante, da vinduerne blev monteret – men det er ingen af dem længere.

I dit kartotek har du noteret, at direktøren for din leverandør er 43 år og har en ægtemand ved navn Hans. De har to børn og den ældste skal konfirmeres næste år. Det er oplysninger, som henfører direkte til personer og skal derfor ikke registreres – med mindre man fx har et samtykke.

I har registreret IP-adresser eller computeres MAC-adresser, når folk besøger jeres hjemmeside og analyserer fx på, hvem der ser hvad på siden. De oplysninger er også personførbare, fordi de kan pege direkte på, hvem der bor hvor. Den profilering skal man have samtykke til, før den er lovlig.