Europa flag

Om to år træder den nye persondataforordning i kraft og erstatter den nuværende persondatalov. Forordningen indeholder nye regler for behandling af personoplysninger, og det betyder, at kommuner og virksomheder, der beskæftiger sig med persondata, skal efterleve de nye og skærpede krav. Læs med og få et overblik over, hvordan din kommune bliver klar til de nye persondataregler.

Hvordan kommer den nye EU Persondataforordning til at påvirke kommunerne? Hvilke nye pligter bliver kommunerne pålagt? Og hvordan kan kommunerne tage højde for de nye regler i forhold til sagsbehandling, kontrakter, teknologiske løsninger og organisering?

Det er nogle af de centrale spørgsmål for landets 98 kommuner, efter den nye persondataforordning blev offentliggjort i starten af maj. Den gælder for alle private og offentlige virksomheder, der er etablerede i EU, og træder i kraft i Danmark den 25. maj 2018.

Det betyder, at kommunerne inden den nye forordning træder i kraft, skal sikre, at de efterlever forordningens nye og skærpede krav. Men hvad kommer den nye EU-dataforordning helt konkret til at betyde for kommunerne, og hvordan forbereder kommunerne sig på at kunne efterleve persondataforordningen?

Forordningen ændrer procedurer

Jakob Holm Hansen er Head of GRC Consulting i KMD Neupart. Han rådgiver til dagligt private virksomheder og myndigheder, herunder kommuner, om at kunne efterleve krav til forordningen.

Når han skal opsummere de overordnede ændringer i persondataforordningen, peger han på et større dokumentationskrav, at individer vil få udvidede rettigheder, og at de nationale datatilsyn vil få bedre og skærpede håndhævelsesmuligheder.

- Der er et stort arbejde i at få dokumentationen på plads i kommunerne. En ting er at gøre tingene rigtigt, en anden ting er, at kommunerne i den nye forordning skal kunne dokumentere, at de efterlever reglerne og kontrollere, at de stadig gør det, forklarer Jakob Holm Hansen og uddyber:

- Det vil i høj grad ændre nogle procedurer i kommunerne, fordi det ikke kun handler om it. Det handler om processer på tværs i kommunen, og de får et større ansvar og dokumentationskrav, siger Jakob Holm Hansen og peger på to punkter, hvor kommunerne med fordel kan sætte ind:

Der skal laves en analyse af datastrømme i kommunen, herunder hvordan data flyder mellem systemer.

En gap-vurdering skal vise, om kommunen på nuværende tidspunkt lever op til kravene, og hvor kommunen med fordel kan sætte ind.

De fem største ændringer

Ifølge Jakob Holm Hansen er der særligt fem forhold, som ændrer sig i den nye forordning, og som kommunerne derfor skal være opmærksomme på i forhold til den gældende persondatalov:

Større dokumentationskrav: Tidligere har Datatilsynet og staten antaget, at kommunerne efterlever loven. Nu skal man som organisation – og som kommune – vise, hvordan man efterlever lovgivningen. Det vil sige, at der påhviler kommunen et større dokumentationskrav. I stedet for, at Datatilsynet skal ud og inspicere, skal kommunerne vise, hvordan deres praksis er med eksempelvis dokumenterede regler og politikker i kommunen samt løbende kontroller.

Privacy Impact Assessment: I dag er det god praksis at lave en Business Impact Assessment, hvor kommunen kigger på, hvad de forretningsmæssige konsekvenser vil være ved et nedbrud på et system. I den nye forordning skal kommunerne også lave en Privacy Impact Assessment. Her skal kommunen vurdere fra den registreredes synspunkt – altså borgeren – hvilke konsekvenser det har for borgeren, hvis der sker en lækage af data i kommunen.

Databeskyttelsesrådgiver: Kommunerne skal udpege en databeskyttelsesrådgiver – en såkaldt DPO (Data Protection Officer). Det kan enten være en medarbejder eller en ekstern person. Personen skal sørge for, at kommunen lever op til reglerne og har et rådgiveransvar i forhold til resten af organisationen samt en rolle i at kontrollere, om reglerne bliver efterlevet.

En fortegnelse over kommunens behandlingsaktiviteter: EU’s databeskyttelsesforordning kræver ikke, at man udarbejder en dataflowanalyse. En fortegnelse over kommunens behandlingsaktiviteter er nok. Justitsministeriet har for nyligt udtalt om fortegnelseskravet, at: ”Kravet er ikke tiltænkt som en ”belastning” og medfører ikke i sig selv et krav om udarbejdelse af større analyser af datastrømme mv.” En fortegnelse over alle behandlingsaktiviteter er en langt mere overkommelig opgave end at udarbejde en dataflowanalyse. En fortegnelse over alle behandlingsaktiviteter fortæller groft sagt, hvordan man behandler sine persondata og i hvilke processer.

Information om brud på datasikkerheden: Kommunerne skal informere relevante myndigheder om brud på datasikkerheden. Hvis en kommune lækker personoplysninger, skal myndighederne underrettes inden for 72 timer med følgende detaljer om overtrædelsen: typer af data, antal registrerede, hvilke konsekvenser lækket har, og hvordan man vil undgå læk i fremtiden.