Store udfordringer for it-afdelingen: Disse fire ting skal du have styr på i den nye EU-persondatalov

Udover meldepligt og risikoen for store bødekrav indeholder EU's kommende persondataforordning mange udfordringer for borgere og virksomheder. Læs med her og få styr på fire af de vigtigste områder.

Djævlen ligger som bekendt oftest gemt i detaljen, og det gælder såmænd også i EU's kommende persondatalovgivningen, som Computerworld tidligere har omtalt i flere artikler.

Meldepligten til alle berørte personer inden for 72 timer ved tab af persondata og bøder på op mod fire procent af virksomhedens omsætning har løbet med alle overskrifterne.

Men der er mange andre ting i forordningen, som du bør finde luppen frem for at nærstudere.

Læs også: Bankbranchen om EU's nye dataregler: Bøderne får folk til at spærre øjnene op

Også selv om EU-lovgivningen stadig mangler den formelle blåstempling i Europa Parlamentet, inden persondataloven gælder fra starten af 2018, hvor fokusområdet er at øge forbrugerbeskyttelsen.

"Generelt bliver borgernes datarettigheder meget mere klare end tidligere, og hvis virksomhedernes håndtering af persondata ikke lever op til loven, så vanker der store bøder," opsummerer it-advokat Martin von Haller Grønbæk fra advokatfirmaet Bird & Bird den kommende persondatalov.

Han har overfor Computerworlds læsere udpeget fire hovedområder fra den nuværende og næsten endelige udgave af lovteksten.

De fire hovedområder er: 1) Udpegning af en data protection officer, 2) samtykke-delen, 3) dataportabilitet og 4) right to be forgotten, som er meget mere end blot at blive fjernet fra Googles søgeindeks.

Udpeg data protection officer
Martin von Haller Grønbæk fremhæver først og fremmest EU-kravet om, at datatunge virksomheder er forpligtede til at udpege en data protection officer.

Læs også: Sådan gør Coop sig klar til nye skrappe persondata-regler fra EU

Han understreger dog, at alle virksomheder ikke nødvendigvis behøver at hyre en data protection officer, da nuværende medarbejdere også kan varetage funktionen.

"En virksomhed, hvis hovedaktivitet består af databehandling, kan også hive advokater, revisorer og andre eksterne personer ind som data protection officer. Så længe dette ikke resulterer i nogen former for interessekonflikter, er alt, som det skal være," siger Martin von Haller Grønbæk.

Han forudsiger, at der med tvangsindførelsen af denne rolle også kan opstå cloud-tjenester, der udbyder denne specifikke service til at være den øverste dataansvarlige person i en virksomhed.

Samtykkekrav kan gøre dig sindssyg
Næste punkt, som it-advokat Martin von Haller Grønbæk fremhæver, er samtykkekravet i forordningen.

Samtykke-kravet tvinger virksomhederne til at indhente samtykke fra borgere og forbrugere, hvis virksomhederne ønsker at indsamle og benytte data om deres brugere og kunder.

Med den kommende EU-persondataforordning går man samtidig fra et passivt samtykke- til aktivt samtykkekrav. Det betyder altså, at er hr og fru EU kan se frem til at blive spurgt en hel del mere om tilladelse til brug af deres data, end vi kender det i dag.

"I den logik skal man jo klikke ja til cookies, før man overhovedet kan komme ind på en hjemmeside. Så hvis du synes, at cookielovgivningen er helt håbløs i dag, så bliver det endnu mere håbløst fremover," siger Martin von Haller Grønbæk og fortsætter:

"Alle normale mennesker er jo fuldstændig ligeglade med alle de samtykker, og vi ville jo få mange flere indlagte sindssyge, hvis vi alle reelt skulle læse alle samtykkeerklæringerne igennem. Ingen læser dem jo, og dette her kan godt gå hen og blive et mønstereksempel på gode intentioner, der ender som et monster."

Læs også: It-advokat: Her er internettets største løgnehistorie

Martin von Haller Grønbæk peger også på, at samtykkekravet kan få stor betydning for app-udviklere.

Det skyldes, at mange app-opdateringer ændrer i app'ens databrug, hvilket har betydning for brugervilkårene, som så igen kræver et samtykke for smartphone-brugere i EU.

"Når ingen læser disse samtykkekrav og bare klikker ja, så kan man jo spørge sig selv, om samtykket har en reel betydning, eller om det bare er et bureaukratisk flueben EU sætter ud for 'samtykke'," siger it-advokaten.

Kan du bare flytte data rundt?
Et tredje nedslagspunkt i den kommende EU-persondataforordning er afsnittet omkring dataportabilitet, som på papiret skal gøre det nemmere for borgerne at flytte deres data rundt.

Dette punkt har Martin von Haller Grønbæk mange roser til overs for.

"Det kunne jo være rigtig godt, hvis man eksempelvis kan flytte alle sine data på eksempelvis LinkedIN til Facebook, men det vil jeg nu gerne se ske i praksis, før jeg tror på det," lyder hans vurdering af dataportabiliteten.

Som verden er i dag, er det ikke altid lige nemt at flytte sine data fra en sky til en anden, hvilket EU ellers lægger op til i sin fremtidige forordning.

Læs også: Opråb til alle chefer: EU-stramningen af persondata-reglerne er dit ansvar

"På et filosofisk plan mener jeg, at det ville være bedre, hvis data er frit til rådighed, og man så opstiller regler for, hvordan man eksempelvis undgår diskriminationer mellem mand og kvinde," vurderer Martin von Haller Grønbæk.

Han peger på, at virksomhederne med kravet om dataportabilitet skal gøre klar til en ny virkelighed, hvor det er noget nemmere at brække data op fra databaserne, så kunderne kan flytte rundt, som det passer dem.

Du forsvinder jo ikke alligevel
Det leder frem til det fjerde punkt, som Martin von Haller Grønbæk her udpeger som nogle af de største områder i EU-persondataforordningen, nemlig retten til at blive glemt (right to be forgotten).

Dette punkt omhandler meget, meget mere end blot bede Google om at blive fjernet fra søgemaskinens indeks.

"Det er jo simpelt at slette tekster og billeder, men hvad med mine meta-data? Dem siger EU ikke så meget om," forklarer Martin von Haller Grønbæk.

Metadata kunne i denne sammenhæng være transaktioner i en bank, likes på Facebook og indkøb i et supermarked, hvor man som forbruger har tilknyttet et rabatkort.

"Helt konkret ligger der rigtig mange udfordringer i at blive glemt, fordi metadata næppe bliver slettet sammen med en brugerprofil. Og stykker man nok af disse metadata sammen, så kan de jo bruges til at genetablere den person, der stod bag transaktionerne," forklarer han.

Hvis du ønsker at blive klogere på den kommende persondataforordning fra EU, afholder Computerworld en stor konference om datasikkerhed i slutningen af måneden. 

På konferencen deltager blandt andre it-advokat Martin von Haller Grønbæk fra Bird & Bird, hvilket du kan læse mere om på konferencesitet.  

Læs også:
Så voldsomt vil nye EU-regler ramme danske virksomheder: 10 virksomheder vil skulle erkende hacker-angreb hver eneste dag




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Kæmpeopdatering af Windows 10 i næste uge: Disse nye features og ændringer på vej
Microsoft udsender i næste uge en stor opdatering af Windows 10 under navnet 'Anniversary Update,' som kommer til at indeholde flere nyheder. Se nogle af de vigtigste her.
CIO
Undgå disse fem skadelige forhindringer og få stor succes med din analytics-strategi
Klumme: Der er meget store gevinster at hente, hvis man forstår at udnytte sine data ordentligt. Men mange løber ind i en række forhindringer. Her har du nogle af de typiske.
Comon
Manden bag verdens største torrent-site anholdt
Den formodede hjerne bag verdens største torrentsite KickassTorrents er blevet anholdt i Danmarks naboland Polen. Herfra forsøger amerikanske myndigheder at få ham udleveret til retsforfølgelse i USA. Læs her, hvad han står anklaget for.
Channelworld
Nordmænd køber dansk software-hus - medarbejderne bliver
Norske Amesto Solutions har købt det det danske CRM-firma Adwiza, der har haft svært ved at opnå tilstrækkelig lønsomhed. Men det skal der laves om på nu, lyder det fra Norge.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.