Djævlen ligger som bekendt oftest gemt i detaljen, og det gælder såmænd også i EU's kommende persondatalovgivningen, som Computerworld tidligere har omtalt i flere artikler.
Meldepligten til alle berørte personer inden for 72 timer ved tab af persondata og bøder på op mod fire procent af virksomhedens omsætning har løbet med alle overskrifterne.
Men der er mange andre ting i forordningen, som du bør finde luppen frem for at nærstudere.
Læs også: Bankbranchen om EU's nye dataregler: Bøderne får folk til at spærre øjnene op
Også selv om EU-lovgivningen stadig mangler den formelle blåstempling i Europa Parlamentet, inden persondataloven gælder fra starten af 2018, hvor fokusområdet er at øge forbrugerbeskyttelsen.
"Generelt bliver borgernes datarettigheder meget mere klare end tidligere, og hvis virksomhedernes håndtering af persondata ikke lever op til loven, så vanker der store bøder," opsummerer it-advokat Martin von Haller Grønbæk fra advokatfirmaet Bird & Bird den kommende persondatalov.
Han har overfor Computerworlds læsere udpeget fire hovedområder fra den nuværende og næsten endelige udgave af lovteksten.
De fire hovedområder er: 1) Udpegning af en data protection officer, 2) samtykke-delen, 3) dataportabilitet og 4) right to be forgotten, som er meget mere end blot at blive fjernet fra Googles søgeindeks.
Udpeg data protection officer
Martin von Haller Grønbæk fremhæver først og fremmest EU-kravet om, at datatunge virksomheder er forpligtede til at udpege en data protection officer.
Læs også: Sådan gør Coop sig klar til nye skrappe persondata-regler fra EU
Han understreger dog, at alle virksomheder ikke nødvendigvis behøver at hyre en data protection officer, da nuværende medarbejdere også kan varetage funktionen.
"En virksomhed, hvis hovedaktivitet består af databehandling, kan også hive advokater, revisorer og andre eksterne personer ind som data protection officer. Så længe dette ikke resulterer i nogen former for interessekonflikter, er alt, som det skal være," siger Martin von Haller Grønbæk.
Han forudsiger, at der med tvangsindførelsen af denne rolle også kan opstå cloud-tjenester, der udbyder denne specifikke service til at være den øverste dataansvarlige person i en virksomhed.
Samtykkekrav kan gøre dig sindssyg
Næste punkt, som it-advokat Martin von Haller Grønbæk fremhæver, er samtykkekravet i forordningen.
Samtykke-kravet tvinger virksomhederne til at indhente samtykke fra borgere og forbrugere, hvis virksomhederne ønsker at indsamle og benytte data om deres brugere og kunder.
Med den kommende EU-persondataforordning går man samtidig fra et passivt samtykke- til aktivt samtykkekrav. Det betyder altså, at er hr og fru EU kan se frem til at blive spurgt en hel del mere om tilladelse til brug af deres data, end vi kender det i dag.
"I den logik skal man jo klikke ja til cookies, før man overhovedet kan komme ind på en hjemmeside. Så hvis du synes, at cookielovgivningen er helt håbløs i dag, så bliver det endnu mere håbløst fremover," siger Martin von Haller Grønbæk og fortsætter:
"Alle normale mennesker er jo fuldstændig ligeglade med alle de samtykker, og vi ville jo få mange flere indlagte sindssyge, hvis vi alle reelt skulle læse alle samtykkeerklæringerne igennem. Ingen læser dem jo, og dette her kan godt gå hen og blive et mønstereksempel på gode intentioner, der ender som et monster."
Læs også: It-advokat: Her er internettets største løgnehistorie
Martin von Haller Grønbæk peger også på, at samtykkekravet kan få stor betydning for app-udviklere.
Det skyldes, at mange app-opdateringer ændrer i app'ens databrug, hvilket har betydning for brugervilkårene, som så igen kræver et samtykke for smartphone-brugere i EU.
"Når ingen læser disse samtykkekrav og bare klikker ja, så kan man jo spørge sig selv, om samtykket har en reel betydning, eller om det bare er et bureaukratisk flueben EU sætter ud for 'samtykke'," siger it-advokaten.
Kan du bare flytte data rundt?
Et tredje nedslagspunkt i den kommende EU-persondataforordning er afsnittet omkring dataportabilitet, som på papiret skal gøre det nemmere for borgerne at flytte deres data rundt.
Dette punkt har Martin von Haller Grønbæk mange roser til overs for.
"Det kunne jo være rigtig godt, hvis man eksempelvis kan flytte alle sine data på eksempelvis LinkedIN til Facebook, men det vil jeg nu gerne se ske i praksis, før jeg tror på det," lyder hans vurdering af dataportabiliteten.
Som verden er i dag, er det ikke altid lige nemt at flytte sine data fra en sky til en anden, hvilket EU ellers lægger op til i sin fremtidige forordning.
Læs også: Opråb til alle chefer: EU-stramningen af persondata-reglerne er dit ansvar
"På et filosofisk plan mener jeg, at det ville være bedre, hvis data er frit til rådighed, og man så opstiller regler for, hvordan man eksempelvis undgår diskriminationer mellem mand og kvinde," vurderer Martin von Haller Grønbæk.
Han peger på, at virksomhederne med kravet om dataportabilitet skal gøre klar til en ny virkelighed, hvor det er noget nemmere at brække data op fra databaserne, så kunderne kan flytte rundt, som det passer dem.
Du forsvinder jo ikke alligevel
Det leder frem til det fjerde punkt, som Martin von Haller Grønbæk her udpeger som nogle af de største områder i EU-persondataforordningen, nemlig retten til at blive glemt (right to be forgotten).
Dette punkt omhandler meget, meget mere end blot bede Google om at blive fjernet fra søgemaskinens indeks.
"Det er jo simpelt at slette tekster og billeder, men hvad med mine meta-data? Dem siger EU ikke så meget om," forklarer Martin von Haller Grønbæk.
Metadata kunne i denne sammenhæng være transaktioner i en bank, likes på Facebook og indkøb i et supermarked, hvor man som forbruger har tilknyttet et rabatkort.
"Helt konkret ligger der rigtig mange udfordringer i at blive glemt, fordi metadata næppe bliver slettet sammen med en brugerprofil. Og stykker man nok af disse metadata sammen, så kan de jo bruges til at genetablere den person, der stod bag transaktionerne," forklarer han.
Hvis du ønsker at blive klogere på den kommende persondataforordning fra EU, afholder Computerworld en stor konference om datasikkerhed i slutningen af måneden.
På konferencen deltager blandt andre it-advokat Martin von Haller Grønbæk fra Bird & Bird, hvilket du kan læse mere om på konferencesitet.
