I dag den 25.juni 2018 træder de længe ventede GDPR-regler i kraft. I månedsvis har såvel det offentlige som it-branchen haft travlt med at leve op til de nye stramme krav for persondatasikkerhed i EU.
EUs nye persondataforordning skal først og fremmest beskytte borgernes data mod misbrug. Foto: Colourbox
Siden jeg afsluttede min uddannelse som journalist fra Danmarks Journalisthøjskole i 1986, har jeg erhvervet mig en bred erfaring med forretningsudvikling, kommunikation og marketing, samt organisation og ledelse på både strategisk og operationelt niveau i privat og offentligt regi.
Jeg arbejder for EG, det offentlige Danmarks mest værdifulde samarbejdspartner, fordi vi tager medansvar for at udvikle den offentlige velfærd gennem digitalisering.
Som redaktør for SamfundsDesign er jeg altid på udkig efter spændende, vedkommende relevante historier om digitalisering af det offentlige Danmark. Så kontakt mig, hvis du sammen med os vil være med til at forankre den digitale forandring, der skal sikre velfærdssamfundet – og når vores børn bliver forældre.
Kontakt og følg Per Roholt
GDPR: Til lykke Europa! Så kom dagen. I dag træder EUs nye persondataforordning i kraft med virkning for 250 millioner europæere – og betydning for langt flere mennesker i hele verden.
Siden loven blev vedtaget i 2016 har de fire trinde bogstaver, GDPR, været tatoveret ind på alle dataansvarliges vagtplan. Fra og med i dag vanker der så bøder til de offentlige og private virksomheder, samt organisationer, der ikke lever op til loven.
- Uanset, at opgaven her og nu kan forekomme stor, så bør man betragte GDPR som et absolut gode, en gave, mener Ole Kjeldsen, der er Teknologi- & Sikkerhedsdirektør i Microsoft.
- For som en konsekvens af GDPR står vi fremover med et ensartet regelsæt, og en lovgivning, der gælder på tværs af EU, og i øvrigt også for de leverandører uden for EU, der vil handle med os, siger Ole Kjeldsen.
Du skal ikke fortvivle, hvis du fortsat ikke har fået læst de 1400 siders vejledning, og fået styr på alle processer.
I stedet skal du ufortrødent arbejde videre med opgaven. For selv om 25.maj 2018 er en vigtig skæringsdato, er det blot så meget desto mere en god grund til at at få arbejdet gjort færdig, og databeskyttelse gjort til en naturlig og integreret del af hverdagen.
Eller som senior product manager Jakob Bælkgaard Riis, EG, udtrykker det:
- Lige nu er alle travlt optaget af at leve op til GDPR-reglerne og i de sidste måneder er der gået uendeligt mange timer på at etablere det nødvendige overblik og få fastlagt de nye procedurer og måske strammet op på de gamle.
Men i bund og grund handler GDPR jo om effektivt at håndtere og organisere sig omkring en række aktiviteter, som enten skal løses én gang for alle, eller om nye faste nye opgaver, der skal løses og vedligeholdes løbende, som en del af et årshjul i forvaltningen, siger Jakob Bækgaard Riis
Hvis du er kommet på baggkant, så har du selvfølgelig travlt. Men her er fem gode råd midt i panikken:
1. Træk vejret dybt
Undgå panik og forsøg at få et overblik over situationen. Hvor langt er I? Hvilke data har I egentlig liggende, og hvem passer på jeres data? Hvad bruger i data til? Har borgere og medarbejdere givet tilladelse til, at I håndterer deres data?
Start med overblikket, så du får løst de vigtigste udfordringer først.t
2. Få styr på databehandleraftalerne.
GDPR skelner mellem dataejer og databehandler. Hvis andre har adgang til jeres data, skal der foreligge en databehandler-aftale.
Vær opmærksom på, at kommuner, KOMBIT og EG i fællesskab har udarbejdet et bud på en standarddatabehandleraftale mellem EG og kommunerne, som kan anvendes til de eksisterende aftaler.
Parterne har taget udgangspunkt i den standarddatabehandleraftale, som blev udarbejdet tidligere i år af KOMBIT, SKI og KMD, der er modelleret over KL/KOMBITs skabelon for databehandleraftaler mellem kommuner og it-leverandører.
3. Dokumenter, hvad I gør
GDPR arbejder med et særligt begreb, fortegnelser, der er beskrivelser af organisationens behandling af persondata. Sørg for at udarbejde de interne fortegnelser, som også kan bruges som ekstern dokumentation.
Desuden er det vigtigt, at I får risikovurderet jeres håndtering af personfølsomme data. Hvor personfølsomme er de data I arbejder med? Og hvad er risikoen for at data kompromitteres? Jo mere følsomme data er og jo større chance for, at data stjæles eller eksponeres på utilsigtet vis, jo skrappere skal sikkerheden være.
4.Politikker skal være offentlige
Den nye persondataforordning stiler krav om, at I skal have en politik for, hvordan I håndterer persondata og politikken skal være offentligt tilgængelig. Få nu lavet den politik og lagt den på hjemmesiden, så andre kan se, at I tager sikkerheden alvorligt.
5.Medarbejderne er nøglen
De store leverandører og virksomheder har lige som jeres egen IT-afdeling brugt enorme ressourcer på at blive klar til GDPR. Det svage led er derfor ofte i praksis medarbejderne, som på grund af hackerangreb eller fejl kan komme til at dele, opbevare eller anvende personfølsomme data forkert. Så ud over at få helt styr på de tekniske ting, er det nok så vigtigt at få styr på data i hverdagen.
Ligger der dokumenter med personfølsomme data og flyder på skrivebordene? Står din kollegas password til systemet på en gul Post-It på hendes computer? Hvad hænger der egentlig på jeres opslagstavler:
- Når jeg besøger sociale tilbud og plejehjem, ser jeg stadig en eller flere opslagstavler rundt omkring i huset, som ikke lever op til persondataforordning, siger senior manager Brian Østergaard, EG.
Læs også: GDPR - er dine opslagstavler lovlige.
I maj 2016 vedtog EU den nye persondatabeskyttelsesforordning, GDPR – General Data Protection Regulation, med skærpede krav til datasikkerhed og hårde bodsbestemmelser. Den nye forordning erstatter tidligere lovgivning fra 1995, som også Persondataloven fra 2000 er baseret på her i Danmark.
De nye regler indebærer blandt andet:
Kilde: DI
En konkret konsekvens af loven er fx, at kravene til det offentliges brug af e-mails strammes. Fremover kan man blive straffet, hvis man fx sender ukrypterede mails med personfølsomme data som navn, cpr og diagnoser eller gemmer e-mails og vedhæftninger på computeren for at uploade dem til et fagsystem - uden at slette dem igen bagefter.
Læs artiklen: Hvem er egentlig din DPO - Data Protection Officer?
Se video: Webinar om sikker mail
Læs mere: Om GDPR og konsekvenserne for dig og dine leverandører
