Store udfordringer for it-afdelingen: Disse fire ting skal du have styr på i den nye EU-persondatalov

Udover meldepligt og risikoen for store bødekrav indeholder EU's kommende persondataforordning mange udfordringer for borgere og virksomheder. Læs med her og få styr på fire af de vigtigste områder.

Annonce:
Annonce:

Martin von Haller Grønbæk

"Hvis du synes, at cookielovgivningen er helt håbløs i dag, så bliver det endnu mere håbløst fremover."

Djævlen ligger som bekendt oftest gemt i detaljen, og det gælder såmænd også i EU's kommende persondatalovgivningen, som Computerworld tidligere har omtalt i flere artikler.

Meldepligten til alle berørte personer inden for 72 timer ved tab af persondata og bøder på op mod fire procent af virksomhedens omsætning har løbet med alle overskrifterne.

Men der er mange andre ting i forordningen, som du bør finde luppen frem for at nærstudere.

Læs også: Bankbranchen om EU's nye dataregler: Bøderne får folk til at spærre øjnene op

Også selv om EU-lovgivningen stadig mangler den formelle blåstempling i Europa Parlamentet, inden persondataloven gælder fra starten af 2018, hvor fokusområdet er at øge forbrugerbeskyttelsen.

"Generelt bliver borgernes datarettigheder meget mere klare end tidligere, og hvis virksomhedernes håndtering af persondata ikke lever op til loven, så vanker der store bøder," opsummerer it-advokat Martin von Haller Grønbæk fra advokatfirmaet Bird & Bird den kommende persondatalov.

Han har overfor Computerworlds læsere udpeget fire hovedområder fra den nuværende og næsten endelige udgave af lovteksten.

De fire hovedområder er: 1) Udpegning af en data protection officer, 2) samtykke-delen, 3) dataportabilitet og 4) right to be forgotten, som er meget mere end blot at blive fjernet fra Googles søgeindeks.

Annonce:

Udpeg data protection officer
Martin von Haller Grønbæk fremhæver først og fremmest EU-kravet om, at datatunge virksomheder er forpligtede til at udpege en data protection officer.

Læs også: Sådan gør Coop sig klar til nye skrappe persondata-regler fra EU

Han understreger dog, at alle virksomheder ikke nødvendigvis behøver at hyre en data protection officer, da nuværende medarbejdere også kan varetage funktionen.

"En virksomhed, hvis hovedaktivitet består af databehandling, kan også hive advokater, revisorer og andre eksterne personer ind som data protection officer. Så længe dette ikke resulterer i nogen former for interessekonflikter, er alt, som det skal være," siger Martin von Haller Grønbæk.

Han forudsiger, at der med tvangsindførelsen af denne rolle også kan opstå cloud-tjenester, der udbyder denne specifikke service til at være den øverste dataansvarlige person i en virksomhed.

Selvom den kommende EU-persondataforordning får meget opmærksomhed, er den ikke officielt vedtaget endnu. Det forventes dog at være en formalitet, når den senere i denne måned skal forbi Europa Parlamentet til officiel godkendelse senere i denne måned. 

Samtykkekrav kan gøre dig sindssyg
Næste punkt, som it-advokat Martin von Haller Grønbæk fremhæver, er samtykkekravet i forordningen.

Samtykke-kravet tvinger virksomhederne til at indhente samtykke fra borgere og forbrugere, hvis virksomhederne ønsker at indsamle og benytte data om deres brugere og kunder.

Med den kommende EU-persondataforordning går man samtidig fra et passivt samtykke- til aktivt samtykkekrav. Det betyder altså, at er hr og fru EU kan se frem til at blive spurgt en hel del mere om tilladelse til brug af deres data, end vi kender det i dag.

"I den logik skal man jo klikke ja til cookies, før man overhovedet kan komme ind på en hjemmeside. Så hvis du synes, at cookielovgivningen er helt håbløs i dag, så bliver det endnu mere håbløst fremover," siger Martin von Haller Grønbæk og fortsætter:

"Alle normale mennesker er jo fuldstændig ligeglade med alle de samtykker, og vi ville jo få mange flere indlagte sindssyge, hvis vi alle reelt skulle læse alle samtykkeerklæringerne igennem. Ingen læser dem jo, og dette her kan godt gå hen og blive et mønstereksempel på gode intentioner, der ender som et monster."

Læs også: It-advokat: Her er internettets største løgnehistorie

Martin von Haller Grønbæk peger også på, at samtykkekravet kan få stor betydning for app-udviklere.

Det skyldes, at mange app-opdateringer ændrer i app'ens databrug, hvilket har betydning for brugervilkårene, som så igen kræver et samtykke for smartphone-brugere i EU.

"Når ingen læser disse samtykkekrav og bare klikker ja, så kan man jo spørge sig selv, om samtykket har en reel betydning, eller om det bare er et bureaukratisk flueben EU sætter ud for 'samtykke'," siger it-advokaten.

"På et filosofisk plan mener jeg, at det ville være bedre, hvis data er frit til rådighed"

Annonce:

Kan du bare flytte data rundt?
Et tredje nedslagspunkt i den kommende EU-persondataforordning er afsnittet omkring dataportabilitet, som på papiret skal gøre det nemmere for borgerne at flytte deres data rundt.

Dette punkt har Martin von Haller Grønbæk mange roser til overs for.

"Det kunne jo være rigtig godt, hvis man eksempelvis kan flytte alle sine data på eksempelvis LinkedIN til Facebook, men det vil jeg nu gerne se ske i praksis, før jeg tror på det," lyder hans vurdering af dataportabiliteten.

Som verden er i dag, er det ikke altid lige nemt at flytte sine data fra en sky til en anden, hvilket EU ellers lægger op til i sin fremtidige forordning.

Læs også: Opråb til alle chefer: EU-stramningen af persondata-reglerne er dit ansvar

"På et filosofisk plan mener jeg, at det ville være bedre, hvis data er frit til rådighed, og man så opstiller regler for, hvordan man eksempelvis undgår diskriminationer mellem mand og kvinde," vurderer Martin von Haller Grønbæk.

Han peger på, at virksomhederne med kravet om dataportabilitet skal gøre klar til en ny virkelighed, hvor det er noget nemmere at brække data op fra databaserne, så kunderne kan flytte rundt, som det passer dem.

Endnu er det uvist, hvordan ens metadata hos forskellige online-leverandører skal slettes helt og aldeles fra nettets og i leverandørernes interne it-systemer. 

Du forsvinder jo ikke alligevel
Det leder frem til det fjerde punkt, som Martin von Haller Grønbæk her udpeger som nogle af de største områder i EU-persondataforordningen, nemlig retten til at blive glemt (right to be forgotten).

Dette punkt omhandler meget, meget mere end blot bede Google om at blive fjernet fra søgemaskinens indeks.

"Det er jo simpelt at slette tekster og billeder, men hvad med mine meta-data? Dem siger EU ikke så meget om," forklarer Martin von Haller Grønbæk.

Metadata kunne i denne sammenhæng være transaktioner i en bank, likes på Facebook og indkøb i et supermarked, hvor man som forbruger har tilknyttet et rabatkort.

"Helt konkret ligger der rigtig mange udfordringer i at blive glemt, fordi metadata næppe bliver slettet sammen med en brugerprofil. Og stykker man nok af disse metadata sammen, så kan de jo bruges til at genetablere den person, der stod bag transaktionerne," forklarer han.

Hvis du ønsker at blive klogere på den kommende persondataforordning fra EU, afholder Computerworld en stor konference om datasikkerhed i slutningen af måneden. 

På konferencen deltager blandt andre it-advokat Martin von Haller Grønbæk fra Bird & Bird, hvilket du kan læse mere om på konferencesitet.  

Læs også:
Så voldsomt vil nye EU-regler ramme danske virksomheder: 10 virksomheder vil skulle erkende hacker-angreb hver eneste dag




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Sommeren bliver varm for danske film-pirater: Nu ruller retssagerne
Knap et år efter de første opkrævningsbreve for ulovlig fildeling blev sendt ud er antipirat advokaterne Opus Law på vej i retten.
CIO
"Over halvdelen af mine ledere i it-afdelingen er folk uden en it-baggrund"
Morten Gade landede et af Danmarks største it-projekter til tiden og uden skandaler. Hør ham fortælle om ledelse, tillid, kontraktstrukturer, og hvorfor hans it-ledere ofte ikke har en it-baggrund.
Comon
Test af 10-kernet entusiastprocessor: i7-6950X er et monster uden lige
Det her er den vildeste processor til entusiastiske forbrugere, men har du egentlig brug for så meget brutal kraft?
Channelworld
27 offentligt ansatte sigtet i stor razzia: Mistænkes for at have modtaget it-bestikkelse
Bagmandspolitiet har i stor aktion anholdt 26 it-folk for bestikkelse i forbindelse med den store bestikkelsessag i Region Sjælland. Udenrigsministeriet, DSB og Rigsadvokaten er blandt de ramte.
White paper
10 retningslinjer, der beskriver, hvordan du får det maksimale udbytte af din BI løsning
Få i dette white paper de 10 retningslinjer der beskriver hvordan du får det maksimale udbytte af din BI løsning