Blogindlæg om den nye persondataforordning

Den nye persondataforordning træder i kraft d. 25. maj 2018. Der er mindre end 4 måneder til nu. Det er dermed ved at være på tide at komme op i omdrejninger, hvis man ikke allerede har fået styr på sikkerheden omkring de data, man opbevarer. Det indebærer blandt andet, at man har orden i sin dokumentation og it-sikkerhed generelt.

Når den nye lovgivning træder i kraft, er det nemlig for sent at gå i gang.

Ved lovens ikrafttrædelse vil man risikere at få besøg af datatilsynet, som kan pålægge bøder på op mod 4 % af virksomhedens årlige omsætning for mangel på dokumentation og sikkerhed, også selvom der ikke er sket noget skadeligt.

Få en overskuelig e-bog om GDPR

Lige nu får en du en e-bog om den nye persondataforordning med, når du tilmelder dig vores nyhedsbrev. Den giver dig et overblik over de vigtigste pointer. Du får tilmed en to-do-liste med en oversigt over de konkrete ting, der skal være på plads inden den nye lov træder i kraft.

Tilmeld dig Efiwares nyhedsbrev

Når du tilmelder dig Efiwares nyhedsbrev, siger du jatak til at modtage markedsføring fra Efiware ApS, herunder vores nyhedsbrev tilsendt 1-2 gange om måneden. Nyhedsbrevet omhandler primært e-handel og IT-sikkerhed, og du kan naturligvis til enhver tid afmelde dig listen. Du finder vores politik om beskyttelse af personoplysninger her.

 

De vigtigste pointer fra den nye lov

Den nye persondataforordning har været længe undervejs. Arbejdet med den nye lov begyndte tilbage i 2011, hvor de første forhandlinger gik i gang. Forordningen er vedtaget i hele EU, og den har derfor sin gyldighed i hele EU samt EØS-lande.

Formålet med den nye lovgivning er at øge sikkerheden for privatpersoners personlige oplysninger. Derfor er der store forandringer at finde i loven, når man sammenligner med den gamle lovgivning, som indtil d. 25. maj i år stadig er den gældende. Loven medfører:

  • Øget krav om dokumentation af sikkerhedsprocedurer og databehandlingsprocedurer.
  • En udvidet straframme (af økonomisk karakter) for virksomhederne: Straffen er betydeligt hårdere end tidligere.
  • Begrænsning på hvor længe virksomhederne må opbevare data, samt hvilke typer.
  • Nye definitioner for persondata.
  • Skærpede krav om oplysnings- og underretningspligt.

De skærpede regler og krav skal gøre det nødvendigt for enhver virksomhed, offentlig som privat, at have fuldstændig styr på, hvordan de opbevarer borgere og kunders data, samt procedurer for handling i tilfælde sikkerhedsbrud.

Samtidig er der et nyt krav om, at virksomheder, hvis hovedaktivitet er databehandling eller behandling af personfølsomme oplysninger, skal have en såkaldt DPO – data protection officer, som skal sikre, at virksomheden til enhver tid lever op til de øvrige krav i persondataforordningen.

Forskellige typer af persondata

Når man taler om persondata, skelnes der mellem følsomme og almindelige persondata. I udgangspunktet skal alle persondata forvares så sikkert som muligt, men når det kommer til følsomme persondata, er der endnu mere skærpede krav til opbevaringen af dem.

Almindelige persondata:

  • Stamoplysninger: Navn, adresse og fødselsdag
  • Ansættelsesforhold: Ansættelsesdato, stilling og arbejdsområder, arbejdstelefon
  • Ansøgninger, CV og eksamensbevis
  • Syge- og feriedage
  • Bil og bolig
  • Tjenstlige forhold
  • Økonomi, skatte- og gældsforhold
  • Familie og forhold

Følsomme persondata:·  

  • Etnisk baggrund
  • Politiske, religiøse eller filosofiske overbevisninger
  • Fagforening
  • Helbred og sundhed
  • Seksualitet og seksuelle forhold
  • Strafbare forhold og tidligere straf

Indsamling af data

Når man som privat virksomhed indsamler oplysninger om sine kunder, skal man være opmærksom på, at man kun må indsamle oplysninger, som man har en relevans for virksomhedens virke over for kunden. Kort sagt er der forskel på ”nice to know” og ”need to know” i denne forbindelse.

Især i markedsføringssammenhæng skal man være opmærksom på, om man ønsker sig lidt for meget viden om sine potentielle kunder i forhold til, hvor meget man reelt kan forsvare at indsamle. Det er en dårlig idé at ”hamstre” oplysninger og holde fast i dem, fordi man måske kan drage nytte af dem senere. Det må man simpelthen ikke.

Indsamling af persondata

Samtykkekrav

Når man indsamler persondata om både eksisterende, nye og potentielle kunder, skal man have deres samtykke. Man skal gøre opmærksom på, hvilket formål man indsamler oplysningerne til, samt om opbevaring og videredeling af oplysningerne.

I praksis er det nok at oplyse kunderne, så det giver mening, at hvis man eksempelvis tilmelder sig et nyhedsbrev, så har man givet samtykke til, at virksomheden opbevarer mailadressen til dette formål.

Indsamler man flere personlige oplysninger, bør man have en fortrolighedspolitik tilknyttet, som forbrugeren har mulighed for at klikke sig ind på og læse, inden de tjekker af i en boks, at de er indforstået med politikken om brugen og opbevaringen af deres data:

Det kunne eksempelvis være på et socialt medie eller en anden brugerplatform, hvor man opretter sig som bruger med en længere række af oplysninger. Driver man sådan en platform, er det desuden en god idé at overveje, om man kræver for mange irrelevante oplysninger ved oprettelsen af en bruger.

Man har pligt til at oplyse om, hvilket formål man skal bruge oplysningerne til, ligesom man skal bede om samtykke til, at man må opbevare oplysningerne. Desuden skal man oplyse, hvordan brugeren kan få adgang til at se, hvilke oplysningerne, der er gemt om denne, og hvordan brugerens oplysninger kan blive fjernet igen.

Opbevaring af personlige oplysninger

Når du har indsamlet personlige oplysninger om dine nuværende eller potentielle kunder, er der to vigtige spørgsmål: Hvor længe vil du opbevare oplysningerne? Hvordan vil du opbevare oplysningerne?

Hvor længe du må opbevare oplysningerne om dine kunder, afhænger af, om du har en relation til dem eller ej. Hvis der er en aktiv relation – noget igangværende – giver det mening at beholde de oplysninger, du har om dem, lige så længe. Du skal blot sørge for, at de er ajourført, så du har korrekte oplysninger liggende. Har du indsamlet oplysninger til markedsføringsformål, må du ikke beholde oplysningerne ”for evigt”.

Hvordan du må opbevare oplysninger om dine kunder er et helt andet spørgsmål. Her skal du nemlig tænke datasikkerhed ind i svaret på spørgsmålet. Jo mere personfølsomme oplysninger, du opbevarer, desto større sikkerhed skal der være omkring selve opbevaringen.

Det er eksempelvis ikke nogen god idé at opbevare følsomme oplysninger i et Word-dokument, der er gemt i en DropBox eller lignende cloud-service. Selvom de store, udbredte cloud-services gerne bryster sig af at have styr på sikkerheden, så stiller persondataforordningen altså større krav til især dokumentationen for sikkerheden, end disse serviceudbydere kan levere.

Du skal ikke bare kende både den fysiske og elektroniske adresse på den server, der hoster dine data, du skal også have en klar procedure for dataindsamling og -opbevaring, som er nedfældet på skrift. Får du uanmeldt besøg af datatilsynet, skal du kunne fremvise en klar protokol, som dokumenterer, at I ikke blot har en procedure, men at I også efterlever den i praksis.

Oplysninger om back-up-systemer og -systematik, sikkerhedsforanstaltninger omkring adgangen til dataene, beskrivelse af hvem, der har adgang til dataene og så videre skal alt sammen være skrevet ned i en håndbog eller lignende.

Server og hosting af persondata

Hosting og databehandleraftale

For at være sikker på at leve op til datatilsynets skærpede krav til sikkerhed og dokumentation, er det vigtigt, du forholder dig til, hvem der er jeres hosting-udbyder, hvis I ikke har en lokal server. Det er vigtigt, at I stiller krav til jeres hosting-udbyders dokumentation af sikkerhedsforholdene.

Det jer, der indsamler dataene om jeres kunder, der er de såkaldte dataansvarlige. Ansvaret for at sikkerheden og dokumentationen heraf er i orden ligger altså hos jer. Jeres hosting-udbyder er databehandleren i denne sammenhæng. Hoster I selv jeres data, er I selv databehandleren.

Hvis I ikke selv hoster jeres data, skal I have en databehandleraftale med jeres serviceudbyder. I denne aftale nedfældes det, hvilke forpligtelser I har over for hinanden, og hvilket ansvar I hver især tager.

Det er for eksempel vigtigt, at jeres databehandler naturligvis aldrig behandler personoplysninger til egne formål. Jeres databehandler skal kun behandle personoplysninger efter jeres anvisninger.

Pligt til underretning

Sker der et sikkerhedsbrud, for eksempel ved et cyberangreb med ransomware, hvor sikkerheden omkring de data, I har liggende digitalt, bliver kompromitteret, har I pligt til at underrette myndighederne. I Danmark er det datatilsynet, der skal underrettes, ligesom I også har pligt til at underrette de berørte kunder eller borgere.

Jeres databehandler har også pligt til at underrette jer som dataansvarlige, hvis de identificerer et sikkerhedsbrud før jer.

Det er dog ikke nok at oplyse om, at der er et sket et brud på sikkerheden. I skal i den forbindelse også kunne redegøre for, hvilke tiltag der er gjort for at genoprette sikkerheden og sikre persondataene, ligesom I skal kunne fremvise jeres dokumentation for sikkerheden og procedurer omkring denne.

Hvilke konsekvenser det har for jer, at der har været et datalæk, kommer an på, hvor godt forberedte, I kan dokumentere, at I har været, samt hvor alvorligt lækket er. Kunne det have været undgået, var lækket alvorligt, og har I ikke haft styr på procedurerne, kan det udløse en bøde på op mod 4 % af virksomhedens årlige omsætning.

Få hjælp til at gennemgå jeres sikkerhed og dokumentation - kontakt Efiware.