Velkommen til GDPR!

I dag den 25.juni 2018 træder de længe ventede GDPR-regler i kraft. I månedsvis har såvel det offentlige som it-branchen haft travlt med at leve op til de nye stramme krav for persondatasikkerhed i EU.

GDPR-Start — *EUs nye persondataforordning skal først og fremmest beskytte borgernes data mod misbrug. Foto: Colourbox*

Udvalgte artikler

GDPR: Til lykke Europa! Så kom dagen. I dag træder EUs nye persondataforordning i kraft med virkning for 250 millioner europæere – og betydning for langt flere mennesker i hele verden.

Siden loven blev vedtaget i 2016 har de fire trinde bogstaver, GDPR, været tatoveret ind på alle dataansvarliges vagtplan. Fra og med i dag vanker der så bøder til de offentlige og private virksomheder, samt organisationer, der ikke lever op til loven.

- Uanset, at opgaven her og nu kan forekomme stor, så bør man betragte GDPR som et absolut gode, en gave, mener Ole Kjeldsen, der er Teknologi- & Sikkerhedsdirektør i Microsoft.

- For som en konsekvens af GDPR står vi fremover med et ensartet regelsæt, og en lovgivning, der gælder på tværs af EU, og i øvrigt også for de leverandører uden for EU, der vil handle med os, siger Ole Kjeldsen.

Er du bagud?

Du skal ikke fortvivle, hvis du fortsat ikke har fået læst de 1400 siders vejledning, og fået styr på alle processer.

I stedet skal du ufortrødent arbejde videre med opgaven. For selv om 25.maj 2018 er en vigtig skæringsdato, er det blot så meget desto mere en god grund til at at få arbejdet gjort færdig, og databeskyttelse gjort til en naturlig og integreret del af hverdagen.

Eller som senior product manager Jakob Bælkgaard Riis, EG, udtrykker det:

- Lige nu er alle travlt optaget af at leve op til GDPR-reglerne og i de sidste måneder er der gået uendeligt mange timer på at etablere det nødvendige overblik og få fastlagt de nye procedurer og måske strammet op på de gamle.

Men i bund og grund handler GDPR jo om effektivt at håndtere og organisere sig omkring en række aktiviteter, som enten skal løses én gang for alle, eller om nye faste nye opgaver, der skal løses og vedligeholdes løbende, som en del af et årshjul i forvaltningen, siger Jakob Bækgaard Riis

Hvad skal du gøre nu?

Hvis du er kommet på baggkant, så har du selvfølgelig travlt. Men her er fem gode råd midt i panikken:

1. Træk vejret dybt

Undgå panik og forsøg at få et overblik over situationen. Hvor langt er I? Hvilke data har I egentlig liggende, og hvem passer på jeres data? Hvad bruger i data til? Har borgere og medarbejdere givet tilladelse til, at I håndterer deres data?

Start med overblikket, så du får løst de vigtigste udfordringer først.t

2. Få styr på databehandleraftalerne.

GDPR skelner mellem dataejer og databehandler. Hvis andre har adgang til jeres data, skal der foreligge en databehandler-aftale.

Vær opmærksom på, at kommuner, KOMBIT og EG i fællesskab har udarbejdet et bud på en standarddatabehandleraftale mellem EG og kommunerne, som kan anvendes til de eksisterende aftaler.

Parterne har taget udgangspunkt i den standarddatabehandleraftale, som blev udarbejdet tidligere i år af KOMBIT, SKI og KMD, der er modelleret over KL/KOMBITs skabelon for databehandleraftaler mellem kommuner og it-leverandører.

3. Dokumenter, hvad I gør

GDPR arbejder med et særligt begreb, fortegnelser, der er beskrivelser af organisationens behandling af persondata. Sørg for at udarbejde de interne fortegnelser, som også kan bruges som ekstern dokumentation.

Desuden er det vigtigt, at I får risikovurderet jeres håndtering af personfølsomme data. Hvor personfølsomme er de data I arbejder med? Og hvad er risikoen for at data kompromitteres? Jo mere følsomme data er og jo større chance for, at data stjæles eller eksponeres på utilsigtet vis, jo skrappere skal sikkerheden være.

4.Politikker skal være offentlige

Den nye persondataforordning stiler krav om, at I skal have en politik for, hvordan I håndterer persondata og politikken skal være offentligt tilgængelig. Få nu lavet den politik og lagt den på hjemmesiden, så andre kan se, at I tager sikkerheden alvorligt.

5.Medarbejderne er nøglen

De store leverandører og virksomheder har lige som jeres egen IT-afdeling brugt enorme ressourcer på at blive klar til GDPR. Det svage led er derfor ofte i praksis medarbejderne, som på grund af hackerangreb eller fejl kan komme til at dele, opbevare eller anvende personfølsomme data forkert. Så ud over at få helt styr på de tekniske ting, er det nok så vigtigt at få styr på data i hverdagen.

Ligger der dokumenter med personfølsomme data og flyder på skrivebordene? Står din kollegas password til systemet på en gul Post-It på hendes computer? Hvad hænger der egentlig på jeres opslagstavler:

- Når jeg besøger sociale tilbud og plejehjem, ser jeg stadig en eller flere opslagstavler rundt omkring i huset, som ikke lever op til persondataforordning, siger senior manager Brian Østergaard, EG.

Læs også: GDPR - er dine opslagstavler lovlige.

Kort om GDPR

I maj 2016 vedtog EU den nye persondatabeskyttelsesforordning, GDPR – General Data Protection Regulation, med skærpede krav til datasikkerhed og hårde bodsbestemmelser. Den nye forordning erstatter tidligere lovgivning fra 1995, som også Persondataloven fra 2000 er baseret på her i Danmark.

De nye regler indebærer blandt andet:

En delvis harmonisering af reglerne såvel som fortolkning af reglerne på tværs af de europæiske lande
En fjernelse af den generelle anmeldelsesforpligtelse til Datatilsynet, når der skal behandles personoplysninger
Virksomhederne tilknyttes som udgangspunkt ét datatilsyn i Europa
Der er nye rettigheder for de registrerede, bl.a. i form af mere oplysning om behandling, ret til hjælp til at udfolde sine rettigheder, retten til dataportabilitet og retten til ikke at blive profileret.
Der er nye og skærpede forpligtelser for de dataansvarlige og databehandlerne, som bl.a. skal sikre at sikkerhed designes ind i it-systemerne, at behandlingerne dokumenteres, at databrud skal meddeles til datatilsynet, at konsekvenserne af behandling skal analyseres, og at der skal i en række tilfælde udpeges en databeskyttelsesansvarlig
Der er langt op til mere samarbejde mellem de europæiske datatilsyn
Der introduceres bøder af betydelig størrelse.

Kilde: DI

Er jeres e-mails sikret?

En konkret konsekvens af loven er fx, at kravene til det offentliges brug af e-mails strammes. Fremover kan man blive straffet, hvis man fx sender ukrypterede mails med personfølsomme data som navn, cpr og diagnoser eller gemmer e-mails og vedhæftninger på computeren for at uploade dem til et fagsystem - uden at slette dem igen bagefter.

Læs artiklen: Hvem er egentlig din DPO - Data Protection Officer?

Se video: Webinar om sikker mail

Læs mere: Om GDPR og konsekvenserne for dig og dine leverandører

SamfundsDesign lukker

Effektivitet baner vejen for bedre kvalitet i botilbud

Digitalisering kræver dialog med medarbejderne

UXR 2: Del 2: Tænk brugerbehov først

The Future of UXR: Life after COVID

UXR 1: Sæt dig i brugerens sted

Dokumentation er en del af praksis

Digital dokumentation skal sikre kvalitet for tilbud i vækst

FKO har forandret den sociale indsats på Frederiksberg

SamfundsDesign lukker

Sociale kreditsystemer er i vækst

IoT-udviklingen: Som en Formel 1-racer uden sikkerhedsudstyr

Her er eksperternes digitaliseringsråd

Guide til kommunernes digitale fremtid

Høld øje med teknologi-radaren

Guld og grønne skove er ingen modsætning

Det offentlige it-projekt, guldet og de grønne skove

Er den offentlige business case mon en død sild?

Nye tider kræver nye vagtplansystemer

Se på vagtplanerne med friske øjne

Business Intelligence-løsning skal optimere brug af data i læge- og specialklinikker

Seks gode råd om it-sikkerhed i det offentlige

Nu falder GDPR-bøderne tungt i Europa

GDPR: God Bless DatAmerika!

Brugervenlighed er digitaliseringens oversete hemmelighed

Whitepaper – Bliv et af de effektive botilbud

Fælles Faglige Begreber: Meningsfuld og brugbar dokumentation

Businesscasen: Fordi vi forvalter andre folks penge!

Digitaliseringsstyrelsen er godt tilfreds

Bedemandseffekten kan måske løse et digitalt problem

Danskerne er trygge ved digitale løsninger – men der er plads til forbedring

Virtuelle assistenter overtager flere og flere opgaver

Brugen af data stiger, men hvad med kvaliteten?

Robot tager skraldet på plejecenteret

Digitale forventninger til botilbud er overdrevne

Recovery: Undersøgelse aflivede myter

Bliver Mixed Reality en realitet i almen praksis?

Nu får ældre en robot til at styre pillerne

Effektmåling skal skabe mening

Digital udgave af KRAP sælger sig selv

Pro & Con effektmåling på socialområdet

SamfundsDesign lukker

Undgå at gøre IoT til de kriminelles slaraffenland

Brugervenlighed er digitaliseringens oversete hemmelighed

Gratis kilder til gode råd og information om GDPR

GDPR vil ændre hverdagen for dig og din it-leverandør

Kender du de 12 vigtigste spørgsmål til den dataansvarlige?

En kommunaldirektør behøver ikke at være digitaliseringsekspert

Er din arbejdsplads klar til de digitale indfødte?

Digitalisering gør, at man som kommunaldirektør ikke kan læne sig tilbage

Årets businesscase-undersøgelse: Gevinsterne halter stadig!

Forretningskritiske initiativer skal ledes og styres

Otte gode grunde til at arbejde med procesoptegning

Velkommen til GDPR!

Udvalgte artikler

VUM og DHUV

Amerikanerne elsker at måle: Men vi kan ikke ukritisk kopiere deres tilgang

De humanoide velfærdsrobotter kommer

Er du bagud?

Hvad skal du gøre nu?

Kort om GDPR

Er jeres e-mails sikret?

GDPR: Har du styr på dine medarbejderdata?

Offentlig service on demand?

Dataanalyse er ikke farligt: Vi kan hacke os til bedre nordiske velfærdssamfund

Hvad dækker begrebet Robotics Process Automation over?

GDPR: Nu strammer garnet om kommuner og regioner