Velkommen til GDPR!

I dag den 25.juni 2018 træder de længe ventede GDPR-regler i kraft. I månedsvis har såvel det offentlige som it-branchen haft travlt med at leve op til de nye stramme krav for persondatasikkerhed i EU.

GDPR-Start

EUs nye persondataforordning skal først og fremmest beskytte borgernes data mod misbrug. Foto: Colourbox

GDPR: Til lykke Europa! Så kom dagen. I dag træder EUs nye persondataforordning i kraft med virkning for 250 millioner europæere – og betydning for langt flere mennesker i hele verden. 

Siden loven blev vedtaget i 2016 har de fire trinde bogstaver, GDPR, været tatoveret ind på alle dataansvarliges vagtplan. Fra og med i dag vanker der så bøder til de offentlige og private virksomheder, samt organisationer, der ikke lever op til loven. 

- Uanset, at opgaven her og nu kan forekomme stor, så bør man betragte  GDPR som et absolut gode, en gave, mener Ole Kjeldsen, der er Teknologi- & Sikkerhedsdirektør i Microsoft. 

- For som en konsekvens af GDPR står vi fremover med et ensartet regelsæt, og en lovgivning, der gælder på tværs af EU, og i øvrigt også for de leverandører uden for EU, der vil handle med os, siger Ole Kjeldsen.

Er du bagud?

Du skal ikke fortvivle, hvis du fortsat ikke har fået læst de 1400 siders vejledning, og fået styr på alle processer. 

I stedet skal du ufortrødent arbejde videre med opgaven. For selv om 25.maj 2018 er en vigtig skæringsdato, er det blot så meget desto mere en god grund til at at få arbejdet gjort færdig, og databeskyttelse gjort til en naturlig og integreret del af hverdagen.  

Eller som senior product manager Jakob Bælkgaard Riis, EG,  udtrykker det:

- Lige nu er alle travlt optaget af at leve op til GDPR-reglerne og i de sidste måneder er der gået uendeligt mange timer på at etablere det nødvendige overblik og få fastlagt de nye procedurer og måske strammet op på de gamle. 

Men i bund og grund handler GDPR jo om effektivt at håndtere og organisere sig omkring en række aktiviteter, som enten skal løses én gang for alle, eller om nye faste nye opgaver, der skal løses og vedligeholdes løbende, som en del af et årshjul i forvaltningen, siger Jakob Bækgaard Riis

Hvad skal du gøre nu?

Hvis du er kommet på baggkant, så har du selvfølgelig travlt. Men her er fem gode råd midt i panikken:

1. Træk vejret dybt

Undgå panik og forsøg at få et overblik over situationen. Hvor langt er I? Hvilke data har I egentlig liggende, og hvem passer på jeres data? Hvad bruger i data til? Har borgere og medarbejdere givet tilladelse til, at I håndterer deres data?

Start med overblikket, så du får løst de vigtigste udfordringer først.t

2. Få styr på databehandleraftalerne.

GDPR skelner mellem dataejer og databehandler. Hvis andre har adgang til jeres data, skal der foreligge en databehandler-aftale. 

Vær opmærksom på, at kommuner, KOMBIT og EG i fællesskab har udarbejdet et bud på en standarddatabehandleraftale mellem EG og kommunerne, som kan anvendes til de eksisterende aftaler. 

Parterne har taget udgangspunkt i den standarddatabehandleraftale, som blev udarbejdet tidligere i år af KOMBIT, SKI og KMD, der er modelleret over KL/KOMBITs skabelon for databehandleraftaler mellem kommuner og it-leverandører.

3. Dokumenter, hvad I gør

GDPR arbejder med et særligt begreb, fortegnelser, der er beskrivelser af organisationens behandling af persondata. Sørg for at udarbejde de interne fortegnelser, som også kan bruges som ekstern dokumentation.

Desuden er det vigtigt, at I får risikovurderet jeres håndtering af personfølsomme data. Hvor personfølsomme er de data I arbejder med? Og hvad  er risikoen for at data kompromitteres? Jo mere følsomme data er og jo større chance for, at data stjæles eller eksponeres på utilsigtet vis, jo skrappere skal sikkerheden være.

4.Politikker skal være offentlige

Den nye persondataforordning stiler krav om, at I skal have en politik for, hvordan I håndterer persondata og politikken skal være offentligt tilgængelig. Få nu lavet den politik og lagt den på hjemmesiden, så andre kan se, at I tager sikkerheden alvorligt.

5.Medarbejderne er nøglen

De store leverandører og virksomheder har lige som jeres egen IT-afdeling brugt enorme ressourcer på at blive klar til GDPR. Det svage led er derfor ofte i praksis medarbejderne, som på grund af hackerangreb eller fejl kan komme til at dele, opbevare eller anvende personfølsomme data forkert. Så ud over at få helt styr på de tekniske ting, er det nok så vigtigt at få styr på data i hverdagen. 

Ligger der dokumenter med personfølsomme data og flyder på skrivebordene? Står din kollegas password til systemet på en gul Post-It på hendes computer? Hvad hænger der egentlig på jeres opslagstavler:

- Når jeg besøger sociale tilbud og plejehjem, ser jeg stadig en eller flere opslagstavler rundt omkring i huset, som ikke lever op til persondataforordning, siger senior manager Brian Østergaard, EG.

Læs også: GDPR - er dine opslagstavler lovlige.

Kort om GDPR

I maj 2016 vedtog EU den nye persondatabeskyttelsesforordning, GDPR – General Data Protection Regulation, med skærpede krav til datasikkerhed og hårde bodsbestemmelser. Den nye forordning erstatter tidligere lovgivning fra 1995, som også Persondataloven fra 2000 er baseret på her i Danmark. 

De nye regler indebærer blandt andet:

  • En delvis harmonisering af reglerne såvel som fortolkning af reglerne på tværs af de europæiske lande
  • En fjernelse af den generelle anmeldelsesforpligtelse til Datatilsynet, når der skal behandles personoplysninger
  • Virksomhederne tilknyttes som udgangspunkt ét datatilsyn i Europa
  • Der er nye rettigheder for de registrerede, bl.a. i form af mere oplysning om behandling, ret til hjælp til at udfolde sine rettigheder, retten til dataportabilitet og retten til ikke at blive profileret.
  • Der er nye og skærpede forpligtelser for de dataansvarlige og databehandlerne, som bl.a. skal sikre at sikkerhed designes ind i it-systemerne, at behandlingerne dokumenteres, at databrud skal meddeles til datatilsynet, at konsekvenserne af behandling skal analyseres, og at der skal i en række tilfælde udpeges en databeskyttelsesansvarlig
  • Der er langt op til mere samarbejde mellem de europæiske datatilsyn
  • Der introduceres bøder af betydelig størrelse.

Kilde: DI

Er jeres e-mails sikret?

En konkret konsekvens af loven er fx, at kravene til det offentliges brug af e-mails strammes. Fremover kan man blive straffet, hvis man fx sender ukrypterede mails med personfølsomme data som navn, cpr og diagnoser eller gemmer e-mails og vedhæftninger på computeren for at uploade dem til et fagsystem - uden at slette dem igen bagefter.

Læs artiklen: Hvem er egentlig din DPO - Data Protection Officer?

Se video: Webinar om sikker mail

Læs mere: Om GDPR og konsekvenserne for dig og dine leverandører