Sådan rammer den nye EU-persondataforordning: Du skal kunne dokumentere alt

Den 25. maj 2018 bliver det nødvendigt at kunne dokumentere, hvordan din virksomhed arbejder med persondata. For der træder EU's nye persondataforordning i kraft, og det gør de nye sanktionsmuligheder også. Det betyder risiko for store bøder og krav om, at du skal kontakte de kunder, hvis data du har mistet i et datalæk, såfremt du ikke kan dokumentere, hvad du har gjort for at undgå det.

I store træk handler EU's nye persondataforordning om, at du skal gøre dit forarbejde, når det kommer til at risikovurdere og beskytte de systemer, hvor du arbejder med persondata. Det bliver nødvendigt at forholde sig til alle de steder, hvor persondata bliver bearbejdet, og ikke mindst at dokumentere at du har forholdt dig til det. Det er formodentlig den mest betydende ændring, der kommer med forordningen.

- Du bliver ramt af et krav om dokumentation af enhver databehandling. Det vil sige, at du skal have en plan, der beskriver, hvordan du behandler forskellige typer af data, og hvem der har adgang til at behandle dem. Og hvis nogen ændrer i de data, så skal du have en log, der viser, hvad der skete. For det skal du kunne præsentere for Datatilsynet, og hvis du ikke kan det, kan du faktisk få en bøde, selvom der ikke er sket noget, fortæller advokat Kim G. Hansen, der er specialist i it-ret og partner i advokatfirmaet Integra.

Dokumentationskravene betyder, at du skal begynde at risikovurdere alle de systemer, hvor du arbejder med persondata. Det skal du gøre for at aktivt at forholde dig til den konsekvens, det kan have for de berørte, hvis deres data bliver lækket fra dine systemer.

- Risikovurdering er noget alle skal lave, og det handler om at vurdere: Hvad sker der, hvis de data, jeg behandler, kommer ud? Noget kan populært sagt klares på bagsiden af en serviet, og andet kræver en større manual, før det er dokumenteret tilstrækkeligt. Det er en del af det arbejde, du skal have lavet, fortæller Kim G. Hansen.

En IP adresse er også persondata
Måske er du vant til at kalde det personfølsomme oplysninger eller følsomme data, men EU persondataforordningen kalder det slet og ret persondata. For det handler ikke kun om kreditkort- eller helbredsoplysninger, definitionen er meget bredere.

- Persondata er alle de data overhovedet, der på noget tidspunkt gør, at man kan identificere en person. Grunden til, det er så bredt defineret, er, at de mange oplysninger til sammen kan lave en profil på en person. Det er derfor, at sådan noget som en IP adresse også er en personoplysning, hvis det på noget tidspunkt gør, at man kan koble den sammen med mig, forklarer Kim G. Hansen.

Den definition betyder, at du ikke kan nøjes med at se isoleret på persondata i ét system, de skal ses i sammenhæng med de andre steder, du behandler data. Ifølge forordningen betyder behandling af data enhver ting, man overhovedet kan gøre med data; indsamling, videregivelse og bearbejdning - alt. Alene det at give nogen adgang til persondata konstituerer behandling. Desuden skal du løbende vurdere, hvornår de data, du behandler, ikke længere er relevante og slette dem.

- Du må ikke beholde data, når du ikke har brug for dem mere. Og du må ikke behandle data, der ikke er nødvendige. Så du må ikke spørge en kunde efter data, som ikke er nødvendige. Hvis Google Maps spurgte om dit CPR nummer for, at du kan bruge tjenesten, så ville det være ulovligt. Det vil sige, at du hele tiden skal spørge dig selv: Er det nødvendigt, jeg behandler de her data, og har jeg det nødvendige samtykke fra ejeren?, vurderer Kim G. Hansen.

Du har selv pligt til at krybe til korset, hvis noget går galt
Selvom du har lavet de rigtige analyser og forberedt dine systemer godt, kan du alligevel komme ud for at blive hacket og miste persondata. Hvis det sker, skal du selv fortælle tilsynsmyndigheden, hvad der er sket. I Danmark er det Datatilsynet, og de skal have besked om et læk senest 72 timer efter, du har fundet ud af, at det er sket.

- Hvis datatilsynet læser i Ekstra Bladet, at der er sket et datalæk hos dig, så kører vi helt op i toppen af bødeskalaen med det samme. Og hvis de mistede data har stor betydning for ejeren, så kan du blive tvunget til at fortælle, at du har mistet deres oplysninger. I min verden må det være noget af det værste, man kan komme ud for. Man risikerer da i hvert fald at miste en kunde, hvis sådan noget sker, forklarer advokat Kim G. Hansen.

Det bliver nødvendigt at kunne bevise, at du har taget de nødvendige skridt i forhold til at kortlægge datastrømme, kryptere data og begrænse adgange, i forhold til persondata. For det er ikke nok bare at sige til Datatilsynet, at du har mistet data.

- Det går ikke. Du skal kunne sige, hvad der er sket, og hvilke konsekvenser, det har haft. Hvad har du gjort for at afhjælpe det, og så videre. Og hvis du ikke gør det indenfor de 72 timer, har du et kæmpe forklaringsproblem, vurderer Kim G. Hansen.

Afhængigt af hvor alvorlig situationen er, kan du blive pålagt at betale en bøde, der modsvarer 4% af hele koncernens årlige omsætning. Bødens størrelse kommer an på den dokumentation, du kan lægge frem, og de forberedelser du har gjort. Jo bedre du kan dokumentere dine forberedelser, des bedre stillet er du i forhold til bøder og sanktioner.

- Bøden bliver givet på en skala, hvor man kigger på, hvad der skete, om det kunne være undgået, og hvor groft det er. Spørgsmålet er, hvad man har gjort for at forhindre, at der kom nogle konsekvenser af det, siger Kim G. Hansen.

En Privacy Impact Assessment kan hjælpe dig med at kortlægge hullerne
Din virksomhed skal altså kunne dokumentere, at reglerne bliver overholdt, men før det kan lade sig gøre, bliver det nødvendigt at identificere, hvor der er sårbarheder. Det vil sige, at du skal finde ud af, hvad det er for nogle persondata, du arbejder med, hvor de kommer fra, og hvor du lagrer dem. Det kan en Privacy Impact Assessment hjælpe dig med.

- Du skal for eksempel kunne oplyse, hvilke data du har om en person, og du skal kunne slette eller rette de data på forlangende. Hvis du skal kunne det, skal du vide, hvilke data du har, og hvor de findes. Så analyse er noget, alle skal lave og gerne i god tid inden 25 maj 2018, for ellers kan du jo ikke nå at få rettet tingene til, så du overholder reglerne, vurderer Kim G. Hansen.

Forordningens motiv er at få dig til at tænke mere aktivt over den måde, du arbejder med persondata på, og hvordan du beskytter dem. Med en Privacy Impact Assessment kan du begynde at stykke et billede sammen af, hvor du skal gøre en særlig indsats for at passe på persondata. Og hvis du gør analysearbejdet, er du også bedre stillet overfor de bøder og sanktioner, som forordningen bringer.

- Jo større skaden ved et læk kan være, des mere skal man gøre for at beskytte sig. Hvis skaden ikke er stor, behøver man ikke gøre så meget. Men hvis du ikke kan lægge papirerne frem som bevis, så kan du alene af den grund - uanset om der er sket noget eller ej - få en bøde, forklarer Kim G. Hansen.

Den nye EU Persondataforordning blev vedtaget den 27. april 2016 og træder officielt i kraft den 25. maj 2018.

 

Skriv en kommentar

Læs flere artikler

25-10-2018
Kan I sende sikre mails?
Sikkerhed, EU-persondataforordningen
Der er skærpede krav på vej fra Datatilsynet. I kølvandet på GDPR udvider Datatilsynet kravene til private vir ...
Læs mere
14-11-2017
Få GDPR-tjeklisten
Sikkerhed, EU-persondataforordningen
EU strammer reglerne for, hvad der anses som persondata og kravene til, hvordan din virksomhed skal behandle d ...
Læs mere