GDPR vil ændre hverdagen for dig og din it-leverandør

Den 25. maj 2018 skal du være klar til at overholde GDPR, EU's persondataforordning.

Dataetik: - GDPR er sat i verden for at harmonisere reglerne til beskyttelse af borgernes privatliv i relation til indsamling af data og informationer i hele Europa. Målet har været at beskytte EU-borgernes ret til privatliv og at ændre måden, hvorpå virksomheder og organisationer forholder sig til persondata, fortæller Jan Sandtrø, advokat og partner i DLA Piper.

EU-embedsmænd og -politikerne har arbejdet med EU's nye persondataforordning, GDPR (General Data Protection Regulation), siden 2012.

Den nye forordning erstatter tidligere lovgivning fra 1995, som også persondataloven fra 2000 er baseret på her i Danmark. Derfor kommer der også en ny lov om behandling af persondata, som vil træde i kraft allersenest den 25. maj 2018.

GDPR er blevet nødvendig – ikke mindst på grund af fremkomsten af globale it-giganter som Facebook og Google, der lever af at indsamle information. Hertil kommer stadigt nye teknologiske muligheder for at indsamle, sammenkøre og analysere data.

Tydelige aftaler
EU-Kommissionen fremhæver især tre punkter som de vigtigste ændringer i forhold til den tidligere lovgivning:

1. Den omfatter flere virksomheder – GDPR gælder for alle virksomheder, der behandler persondata knyttet til EU-borgere, uafhængigt af virksomhedens adresse, eller hvor disse data bliver behandlet.

2. Dyrere at bryde loven – den maksimale bøde er fastsat til 20 millioner euro eller 4 procent af virksomhedens globale omsætning.

3. Kræver tydelige aftaler – borgere, som der indsamles data fra, får enklere og tydeligere aftaler at forholde sig til. Virksomhederne må ikke længere bruge lange, uklare og komplekse vilkår som betingelse for brugen af fx en app eller en tjeneste. Samtykke skal kunne gives i en forståelig og lettilgængelig form, som skal indeholde grunden til, at de pågældende oplysninger indsamles.

Aftale om behandling af personoplysninger
- Set med teknologiske briller er den vigtigste ændring i GDPR, at kravene om beskyttelse af persondata skal være indbygget i it-løsninger ved såkaldt Privacy by Design, og der kommer strengere krav til aftaler om håndtering af data, fortsætter Sandtrø.

- En aftale om behandling af personoplysninger er en aftale mellem en behandlingsansvarlig og en databehandler. En behandlingsansvarlig er den, som bestemmer, at personoplysninger skal indsamles og behandles. Fx vil en virksomhed, der har ansatte, være behandlingsansvarlig for personoplysninger om de ansatte, eksempelvis oplysninger knyttet til lønudbetalinger. Hvis virksomheden bruger et andet firma til at håndtere lønudbetalingerne, som fx Bluegarden, Visma eller andre, vil dette firma i denne sammenhæng være databehandler, eftersom de behandler personoplysninger på vegne af den behandlingsansvarlige, svarer Sandtrø.

GDPR indebærer flere krav til aftaler om databehandling. Kravene følger specielt artikel 28 i GDPR, hvor der bl.a. står, at en aftale om behandling af personoplysninger skal indeholde:

Formålet med behandlingen
Varigheden af behandlingen
Hvilken type personoplysninger og hvilke kategorier af registrerede data der skal behandles
Den behandlingsansvarliges rettigheder og pligter.

Kontrol over egne data
GDPR styrker også brugernes rettigheder i relation til data, som virksomheder har indsamlet om dem. EU-Kommissionen fremhæver især følgende fem punkter som særligt vigtige:

1. Varsel ved dataindbrud – Sker der dataindbrud, skal kunder og tilsynsmyndigheder varsles senest 72 timer efter, at virksomheden opdagede indbruddet.

2. Adgang til data – Borgerne har krav på at få at vide, præcis hvilke data der er blevet indsamlet, og hvordan de anvendes, og på at få en gratis, elektronisk kopi af egne persondata.

3. Ret til at blive glemt – Man har ret til at få alle personoplysninger om sig selv slettet, og at anvendelsen af de pågældende data bringes til ophør.

4. Flytning af data – Man har ret til at få udleveret sine data i et almindeligt format, som kan læses af andre it-systemer, og udlevere disse til andre parter.

5. Privacy by Design – Beskyttelse af persondata og informationssikkerhed skal som standard være indbygget i it-systemer, der behandler personoplysninger.

Dyr brøler
Har man ikke en aftale om databehandling, overtræder man persondataforordningen, og resultatet kan blive (meget) dyre bøder. Det samme kan ske, hvis selve aftalen ikke lever op til lovkravene. For manglende aftaler om databehandling er gebyrsatsen maksimalt 10 millioner euro eller 2 procent af den globale omsætning, afhængigt af hvad der er dyrest. Hvis personoplysninger videregives til databehandlere i lande uden for EU, kan bøderne blive på op til 20 millioner euro eller 4 procent af den globale omsætning.

Digitalisering kræver dialog med medarbejderne

Undgå konfliktfyldte it-projekter

Millioner at spare på SKI-tildelinger

UXR 2: Del 2: Tænk brugerbehov først

The Future of UXR: Life after COVID

UXR 1: Sæt dig i brugerens sted

Dokumentation er en del af praksis

Digital dokumentation skal sikre kvalitet for tilbud i vækst

FKO har forandret den sociale indsats på Frederiksberg

Sociale kreditsystemer er i vækst

IoT-udviklingen: Som en Formel 1-racer uden sikkerhedsudstyr

Undgå at gøre IoT til de kriminelles slaraffenland

Guide til kommunernes digitale fremtid

Høld øje med teknologi-radaren

Gratis vejrdata fra DMI skal styrke Danmarks grønne omstilling

Det offentlige it-projekt, guldet og de grønne skove

Er den offentlige business case mon en død sild?

Business case skal ofte legitimere trufne valg

Business Intelligence-løsning skal optimere brug af data i læge- og specialklinikker

Coronaen kom som en tyv om natten

Digitale løsninger hjælper det danske sundhedsvæsen under coronakrisen

Seks gode råd om it-sikkerhed i det offentlige

Nu falder GDPR-bøderne tungt i Europa

GDPR: God Bless DatAmerika!

Brugervenlighed er digitaliseringens oversete hemmelighed

Whitepaper – Bliv et af de effektive botilbud

Fælles Faglige Begreber: Meningsfuld og brugbar dokumentation

Businesscasen: Fordi vi forvalter andre folks penge!

Digitaliseringsstyrelsen er godt tilfreds

Bedemandseffekten kan måske løse et digitalt problem

Danskerne er trygge ved digitale løsninger – men der er plads til forbedring

Virtuelle assistenter overtager flere og flere opgaver

Brugen af data stiger, men hvad med kvaliteten?

Robot tager skraldet på plejecenteret

Digitale forventninger til botilbud er overdrevne

Recovery: Undersøgelse aflivede myter

Bliver Mixed Reality en realitet i almen praksis?

Nu får ældre en robot til at styre pillerne

Effektmåling skal skabe mening

Digital udgave af KRAP sælger sig selv

Pro & Con effektmåling på socialområdet

Undgå at gøre IoT til de kriminelles slaraffenland

Brugervenlighed er digitaliseringens oversete hemmelighed

Tre grunde til at ønske sig mere digitalisering i 2020

Gratis kilder til gode råd og information om GDPR

GDPR vil ændre hverdagen for dig og din it-leverandør

Kender du de 12 vigtigste spørgsmål til den dataansvarlige?

En kommunaldirektør behøver ikke at være digitaliseringsekspert

Er din arbejdsplads klar til de digitale indfødte?

Digitalisering gør, at man som kommunaldirektør ikke kan læne sig tilbage

Årets businesscase-undersøgelse: Gevinsterne halter stadig!

Forretningskritiske initiativer skal ledes og styres

Otte gode grunde til at arbejde med procesoptegning

GDPR vil ændre hverdagen for dig og din it-leverandør

Udvalgte artikler

Digital transformation handler om HR

Tilmeld dig nyhedsbrevet

Tilmeld dig her:

Cyber- og informationssikkerhed: Danmarks digitale sikkerhed skal styrkes

Persondataforordning giver bedre overblik over processer

Fem gyldne regler for it-sikkerhed

Arkivering koster kassen: Er der mening i galskaben?

SAS Institute vil inspirere sundhedsvæsenet til mere datadrevet ledelse

Poul Venø: Selvbetjeningsløsninger skal være mere brugervenlige

Radikal Ungdom: Vi skal have indre frit marked for data