Er din virksomhed forberedt på de nye persondataregler?

Hvilke regler kommer til at gælde? Skal vi ændre vores måde at håndtere data? Hvad med de store bøder?

C2IT modtager i øjeblikket flere forespørgsler fra virksomheder, der er i tvivl om konsekvenserne af den kommende persondataforordning, fortæller persondataansvarlig Thomas Kallenbach.

Blandt de vigtigste nye tiltag i forordningen er bl.a.:

• Bøder på op til fire % af den årlige koncernomsætning
• Underretningspligt ved brud på persondatasikkerheden inden for 72 timer
• Skærpede krav til dokumentation for overholdelse af reglerne
• Udpegning af databeskyttelsesansvarlige i offentlige myndigheder og private virksomheder, der håndterer store mængder følsomme personoplysninger.

Lever virksomheden allerede op til de eksisterende regler, vil det være en overkommelig opgave at tilpasse sig de nye krav, vurderer Thomas Kallenbach. Problemet er, at databeskyttelse allerede i dag mangler opmærksomhed.

Skærpede dokumentationskrav til virksomheder

Ifølge Thomas Kallenbach er der mange virksomheder, som ikke lever op til reglerne i dag, fordi konsekvenserne ved at lade være er beskedne. Det ændrer sig med de nye bødestørrelser.

De skærpede dokumentationskrav kan derfor medføre en omfangsrig indsats for mange virksomheder.

”De færreste har egentlig dokumentation liggende omkring behandling af persondata og procedurer for, hvad de gør i tilfælde af f.eks. brud på sikkerheden. Derfor foreligger der en ret betydningsfuld og omfattende opgave med at kortlægge de persondata, virksomhederne har liggende,” siger Thomas Kallenbach.

Han hjælper bl.a. virksomheder med at skaffe overblik over systemer, hvor der behandles persondata.

”Jeg var ved en virksomhed forleden, hvor de mente, at de benyttede 5-6 systemer, hvori der indgik persondata. Nu er vi oppe på 23. Det kan være værdifuldt for virksomheden at vide.”

Mulighed for at styrke den generelle datahåndtering

Gennem interviews med nøglepersoner i virksomheden kortlægger Thomas Kallenbach, hvilke systemer virksomhederne arbejder i, hvilke persondata de behandler, hvorfor og i hvilke processer, om der er logning af data, og hvornår de har tænkt sig at slette dem. Herunder kortlægges også aftaler med eksterne databehandlere.

På trods af den store opgave, der kan ligge i omstillingen til de nye regler, kan virksomheder også vælge at se det som en mulighed for større indsigt og en anledning til at tænke andre datasæt ind i beskyttelsen.

”Jeg håber, det skaber en langt større opmærksomhed omkring den generelle anvendelse og beskyttelse af forskellige typer data. Der er mange virksomheder, der ikke har stringente procedurer for, hvilke data medarbejderne kan tilgå, heller ikke når det gælder forretningskritiske data. Det åbner en dør for misbrug og tyveri,” siger Thomas Kallenbach.

FAKTA

• Persondataforordningen træder i kraft i Danmark 25. maj 2018. Den erstatter persondatadirektivet, som i Danmark er gennemført i persondataloven fra 2000.
• Læs mere om de vigtigste ændringer i denne tjekliste fra Datatilsynet
• Der afholdes i øjeblikket flere seminarer og gå-hjem-møder om Persondataforordningen i INCUBAs miljøer. C2IT er bl.a. vært for et seminar d. 4. april, hvor virksomheder kan få værktøjer til at efterleve kravene. Læs mere på www.c2it.dk