EU Persondataforordningen: Er I klar til det nye regelsæt?

Kort før jul i 2015 blev EU's lovgivende institutioner endelig enige om regelsættet i den kommende EU Persondataforordning. Her udlægger en TDC-ekspert de væsentligste hovedpunkter i aftalen og kommer samtidig med en opfordring til både offentlige og private virksomheder i Danmark.
Anika Lüdeke Dueholm

Anika Dueholm

15. marts 2016

Den 15. december blev EU's lovgivende institutioner enige om udformningen af EU Persondataforordningen. EU Persondataforordningen forventes endelig vedtaget i Europaparlamentet i foråret 2016. Herefter tager man straks hul på en to-årig ikrafttrædelsesfrist, og så bliver forordningen en realitet fra og med foråret 2018. Pt. er forordningen i gang med at blive oversat til dansk.

EU Persondataforordningen er – uden overdrivelse – ét af de vigtigste it-sikkerhedsinitiativer i mange år. Dels fordi forordningen tvinger offentlige og private virksomheder til at tænke og implementere it-sikkerhed på en langt mere struktureret måde end tidligere. Og dels fordi der venter meget store bødestraffe til dem, der ikke lever op til forordningens regelsæt.

En væsentlig mængde persondata

Thomas Møldrup-Koch er Management Konsulent i TDC Sikkerhed. Han har fulgt med i det langstrakte arbejde med EU Persondataforordningen, og han slår fast, at Persondataforordningen kommer til at gælde for alle, der behandler persondata.

“Det gør alle kommuner og regioner de facto, så det giver sig selv, at de bliver omfattet af EU Persondataforordningen. Men også en privat virksomhed, der håndterer en væsentlig mængde personlige oplysninger vil være omfattet af EU Persondataforordningen.”

Krav om DPO

Definitionen af persondata i EU Persondataforordningen bliver stort set den samme som i Persondataloven, der gælder i Danmark i dag. Det vil sige, at persondata er enhver form for information om en identificeret eller identificerbar fysisk person. Dog bliver anvendelsesområdet lidt bredere, da nu også genetiske data – eksempelvis dna – og biometriske data – eksempelvis fingeraftryk – er medtaget i den nye forordning.

“Det afgørende nye er, at der med EU-forordningen indføres et krav om tilknytning af en såkaldt DPO, en Data Protection Officer, både i den offentlige sektor og for virksomheder, hvis hovedaktivitet er behandling af persondata, eller hvor der behandles mange følsomme oplysninger.”

Ny oplysningspligt til enkeltpersoner

Hvis man indsamler oplysninger om en persons alder, postnummer, bil, børn og så videre – som mange virksomheder har haft for vane at gøre – så kan de data bruges til at identificere en person, og så kan man som organisation blive omfattet af EU Persondataforordningen.

“I EU Persondataforordningen bliver virksomheder og myndigheder underlagt en vidtgående oplysningspligt, og de skal give dybdegående information til enkeltpersoner vedrørende håndteringen af deres persondata. Udtrykkeligt samtykke kræves også i større omfang end før,” siger Thomas Møldrup-Koch.

“Det ansvar og det påkrævede beredskab, der følger med behandlingen af persondata, vil være en ny situation for mange.”

Kæmpe bøder og 72 timers reaktionstid

Blandt de øvrige nøgleområder i forordningen er blandt andet et krav om, at dataansvarlige og databehandlere skal kunne dokumentere, at behandlingen af personoplysninger sker i overensstemmelse med forordningens bestemmelser. Overholder den dataansvarlige eller databehandleren ikke det nye regelsæt, kan der udstedes bøder på op til 20 mio. euro eller 4 pct. af virksomhedens globale årlige omsætning.

Derudover indføres der en underretningspligt, hvorefter underretning om alvorlige brud på datasikkerheden skal ske inden for 72 timer til Datatilsynet.

“Navnlig den sidste detalje kommer til at få store konsekvenser for de danske virksomheder og offentlige institutioner. Forordningen kommer til at indeholde et krav om, at man som organisation informerer Datatilsynet indenfor 72 efter, man er blevet klar over, at der er sket en datalækage,” siger Thomas Møldrup-Koch

Thomas Møldrup-Koch

Det betyder, at man i fremtiden skal overvåge al sin datatrafik ind og ud af huset meget mere aktivt, end man gør i dag

Risikoanalyse kan føre til effektivisering

Inden EU Persondataforordningen træder i kraft ligger der også et stort arbejde i at få klassificeret og prioriteret alle virksomhedens data, så de kan indgå i en dokumenterbar risikoanalyse, der kan tåle et myndighedseftersyn.

“Det arbejde gør man klogt i at begynde allerede nu, så man ikke kommer på bagkant,” siger Thomas Møldrup-Koch. “Man skal have styr på, hvilke data man som virksomhed ligger inde med, hvor data ligger henne, hvem der har adgang til data, hvilke databehandleraftaler man har, hvor databehandler opbevarer data, hvad Persondataforordningen betyder for virksomheden og så videre.”

“Det er en omkostningstung proces. Men man får også meget igen som organisation. Ved at have en risikobaseret tilgang kan man udligne sikkerhedsniveauet på tværs af organisationen. Det nytter ikke noget, at man bruger voldsomt mange ressourcer på at sikre dele af virksomheden, hvis andre dele står pivåbne. Den erkendelse kan bane vejen for effektiviseringer af driften.”