Store udfordringer for it-afdelingen: Disse fire ting skal du have styr på i den nye EU-persondatalov

Udover meldepligt og risikoen for store bødekrav indeholder EU's kommende persondataforordning mange udfordringer for borgere og virksomheder. Læs med her og få styr på fire af de vigtigste områder.

Djævlen ligger som bekendt oftest gemt i detaljen, og det gælder såmænd også i EU's kommende persondatalovgivningen, som Computerworld tidligere har omtalt i flere artikler.

Meldepligten til alle berørte personer inden for 72 timer ved tab af persondata og bøder på op mod fire procent af virksomhedens omsætning har løbet med alle overskrifterne.

Men der er mange andre ting i forordningen, som du bør finde luppen frem for at nærstudere.

Læs også: Bankbranchen om EU's nye dataregler: Bøderne får folk til at spærre øjnene op

Også selv om EU-lovgivningen stadig mangler den formelle blåstempling i Europa Parlamentet, inden persondataloven gælder fra starten af 2018, hvor fokusområdet er at øge forbrugerbeskyttelsen.

"Generelt bliver borgernes datarettigheder meget mere klare end tidligere, og hvis virksomhedernes håndtering af persondata ikke lever op til loven, så vanker der store bøder," opsummerer it-advokat Martin von Haller Grønbæk fra advokatfirmaet Bird & Bird den kommende persondatalov.

Han har overfor Computerworlds læsere udpeget fire hovedområder fra den nuværende og næsten endelige udgave af lovteksten.

De fire hovedområder er: 1) Udpegning af en data protection officer, 2) samtykke-delen, 3) dataportabilitet og 4) right to be forgotten, som er meget mere end blot at blive fjernet fra Googles søgeindeks.

Udpeg data protection officer
Martin von Haller Grønbæk fremhæver først og fremmest EU-kravet om, at datatunge virksomheder er forpligtede til at udpege en data protection officer.

Læs også: Sådan gør Coop sig klar til nye skrappe persondata-regler fra EU

Han understreger dog, at alle virksomheder ikke nødvendigvis behøver at hyre en data protection officer, da nuværende medarbejdere også kan varetage funktionen.

"En virksomhed, hvis hovedaktivitet består af databehandling, kan også hive advokater, revisorer og andre eksterne personer ind som data protection officer. Så længe dette ikke resulterer i nogen former for interessekonflikter, er alt, som det skal være," siger Martin von Haller Grønbæk.

Han forudsiger, at der med tvangsindførelsen af denne rolle også kan opstå cloud-tjenester, der udbyder denne specifikke service til at være den øverste dataansvarlige person i en virksomhed.

Samtykkekrav kan gøre dig sindssyg
Næste punkt, som it-advokat Martin von Haller Grønbæk fremhæver, er samtykkekravet i forordningen.

Samtykke-kravet tvinger virksomhederne til at indhente samtykke fra borgere og forbrugere, hvis virksomhederne ønsker at indsamle og benytte data om deres brugere og kunder.

Med den kommende EU-persondataforordning går man samtidig fra et passivt samtykke- til aktivt samtykkekrav. Det betyder altså, at er hr og fru EU kan se frem til at blive spurgt en hel del mere om tilladelse til brug af deres data, end vi kender det i dag.

"I den logik skal man jo klikke ja til cookies, før man overhovedet kan komme ind på en hjemmeside. Så hvis du synes, at cookielovgivningen er helt håbløs i dag, så bliver det endnu mere håbløst fremover," siger Martin von Haller Grønbæk og fortsætter:

"Alle normale mennesker er jo fuldstændig ligeglade med alle de samtykker, og vi ville jo få mange flere indlagte sindssyge, hvis vi alle reelt skulle læse alle samtykkeerklæringerne igennem. Ingen læser dem jo, og dette her kan godt gå hen og blive et mønstereksempel på gode intentioner, der ender som et monster."

Læs også: It-advokat: Her er internettets største løgnehistorie

Martin von Haller Grønbæk peger også på, at samtykkekravet kan få stor betydning for app-udviklere.

Det skyldes, at mange app-opdateringer ændrer i app'ens databrug, hvilket har betydning for brugervilkårene, som så igen kræver et samtykke for smartphone-brugere i EU.

"Når ingen læser disse samtykkekrav og bare klikker ja, så kan man jo spørge sig selv, om samtykket har en reel betydning, eller om det bare er et bureaukratisk flueben EU sætter ud for 'samtykke'," siger it-advokaten.

Kan du bare flytte data rundt?
Et tredje nedslagspunkt i den kommende EU-persondataforordning er afsnittet omkring dataportabilitet, som på papiret skal gøre det nemmere for borgerne at flytte deres data rundt.

Dette punkt har Martin von Haller Grønbæk mange roser til overs for.

"Det kunne jo være rigtig godt, hvis man eksempelvis kan flytte alle sine data på eksempelvis LinkedIN til Facebook, men det vil jeg nu gerne se ske i praksis, før jeg tror på det," lyder hans vurdering af dataportabiliteten.

Som verden er i dag, er det ikke altid lige nemt at flytte sine data fra en sky til en anden, hvilket EU ellers lægger op til i sin fremtidige forordning.

Læs også: Opråb til alle chefer: EU-stramningen af persondata-reglerne er dit ansvar

"På et filosofisk plan mener jeg, at det ville være bedre, hvis data er frit til rådighed, og man så opstiller regler for, hvordan man eksempelvis undgår diskriminationer mellem mand og kvinde," vurderer Martin von Haller Grønbæk.

Han peger på, at virksomhederne med kravet om dataportabilitet skal gøre klar til en ny virkelighed, hvor det er noget nemmere at brække data op fra databaserne, så kunderne kan flytte rundt, som det passer dem.

Du forsvinder jo ikke alligevel
Det leder frem til det fjerde punkt, som Martin von Haller Grønbæk her udpeger som nogle af de største områder i EU-persondataforordningen, nemlig retten til at blive glemt (right to be forgotten).

Dette punkt omhandler meget, meget mere end blot bede Google om at blive fjernet fra søgemaskinens indeks.

"Det er jo simpelt at slette tekster og billeder, men hvad med mine meta-data? Dem siger EU ikke så meget om," forklarer Martin von Haller Grønbæk.

Metadata kunne i denne sammenhæng være transaktioner i en bank, likes på Facebook og indkøb i et supermarked, hvor man som forbruger har tilknyttet et rabatkort.

"Helt konkret ligger der rigtig mange udfordringer i at blive glemt, fordi metadata næppe bliver slettet sammen med en brugerprofil. Og stykker man nok af disse metadata sammen, så kan de jo bruges til at genetablere den person, der stod bag transaktionerne," forklarer han.

Hvis du ønsker at blive klogere på den kommende persondataforordning fra EU, afholder Computerworld en stor konference om datasikkerhed i slutningen af måneden. 

På konferencen deltager blandt andre it-advokat Martin von Haller Grønbæk fra Bird & Bird, hvilket du kan læse mere om på konferencesitet.  

Læs også:
Så voldsomt vil nye EU-regler ramme danske virksomheder: 10 virksomheder vil skulle erkende hacker-angreb hver eneste dag




Premium
Test: Apples nye iPhone er bygget til fart og stil: Så gode er iPhone 12 og iPhone 12 Pro
Computerworld tester: IPhone 12 og iPhone 12 Pro er bygget til fart og til at se godt ud. Varen leveres stilsikkert, men noget er overset i farten.
Computerworld
Salling Group lukker stor online-satsning efter kun et år
Millionsatsningen Fillop lukker ved årets udgang. I stedet er supermarkeds-giganten Salling Group nu på vej med en række helt nye online-satsninger, der er affødt af coronakrisen.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Optimér netværket til håndtering af hybrid- og multicloud infrastruktur
I januar 2020 konstaterede Gartner, at cloudcomputing var blevet ”The New Normal” – og op gennem året gjorde Covid-19 det endda helt essentielt at være i stand til at drifte infrastrukturen helt eller delvist fra skyen. Situationen har tvunget virksomheder til hastigt at omstille eller gentænke deres driftsstrategi, og hybride infrastrukturmodeller er nu mere udbredte end nogensinde før. Men mange har også været nødt til at erkende, at den stigende kompleksitet – i særdeleshed på det netværks- og sikkerhedsbaserede felt – stiller helt nye krav til de organisationer, der anvender dem. Denne hvidbog går i dybden med nogle af de mest udbredte udfordringer, som disse transformationsscenarier stiller din organisation overfor. Den giver et solidt bud på, hvordan en netværkshub baseret på Interxion-teknologi gør det muligt at gentænke og optimere netværksinfrastrukturen. Særligt med henblik på at optimere den til at kunne håndtere en hybrid- eller multicloudbaseret infrastruktur.