CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Maciej Cielma)

Nystartet tech-firma? Her er det, du skal vide om persondataforordningen

Klumme: Skal et nystartet it-firma også have en data protection officer? Og hvad med kundernes "ret til at blive glemt"? Få styr på reglerne her.

24. februar 2016 kl. 11.21
Martin von Haller Grønbæk Martin von Haller Grønbæk It-advokat, partner Bird & Bird

I løbet af den seneste tid har jeg i mine klummer forsøgt at klarlægge konsekvenserne af den nye persondataforordning.

Denne klumme - min sidste om dette emne i denne omgang - vil derfor være en form for opsummering af mine tidligere klummer med fokus på forordningens konsekvenser for særligt nystiftede virksomheder, der beskæftiger sig med teknologi.

Tech-startups særlige karakter medfører, at visse dele af forordningen bliver henholdsvis mere eller mindre relevante.

Vent med DPO'en

Tech-startups har, grundet de seneste ændringer i forordningen, som udgangspunkt ingen grund til at skynde sig ud og finde en Data Protection Officer.

Som jeg også i et tidligere indlæg har nævnt, er DPO'er kun et krav, såfremt virksomheden behandler data, som efter deres karakter, anvendelsesområde eller formål kræver regelmæssig og systematisk overvågning af personer på en stor skala, eller hvis virksomhedens kerneaktivitet består af behandling af følsomme oplysninger i stor skala eller oplysninger om kriminelle forhold.

Det bliver med andre ord først relevant, når databehandlingen har en ganske betydelig størrelse.

Få styr på procedurerne

Ja, sjældent har en overskrift lydt så kedelig.

Det er imidlertid meget vigtigt. Særligt to interne procedurer bør være på plads før forordningens endelige ikrafttræden:

1. Procedure for håndtering af "retten til at blive glemt"

Eftersom tech-startups ofte benytter tredjeparter til databehandling, for eksempel via cloud ser-vices, er det meget vigtigt, at virksomheden har et komplet overblik over disse tredjeparter og en klar procedure for, hvordan henvendelser fra kunder om "retten til at blive glemt" skal håndteres.

Hvis en kunde gør brug af sin "ret til at blive glemt" overfor virksomheden, er virksomheden nemlig forpligtet til at slette egne oplysninger (medmindre behandling af oplysningerne er nødvendige for for eksempel udøvelse af retten til frihed, ytrings- og informationsfriheden) og informere alle tredjeparter, der behandler oplysningerne (forudsat at virksomheden har offentliggjort oplysningerne).

Lav derfor en liste med alle tredjeparter, der videregives oplysninger til, og en procedure for, hvordan kontakten med såvel kunden og tredjeparter skal håndteres.

2. Underretningsprocedure ved datasikkerhedsbrud

Når der alene i Danmark sker adskillige tusinde hackerforsøg om dagen, er det naivt for en virksomhed - især en tech-startup - at tro, at der ikke vil ske et datasikkerhedsbrud før eller siden.

Indberetningsfristen til Datatilsynet er ifølge forordningen 72 timer, så der er altså ikke meget tid at gøre med. Det er derfor vigtigt, at der ligger en procedure klar (som de ansatte er bekendt med), hvis uheldet er ude.

Man skal desuden have for øje, at også datasubjektet i visse tilfælde skal orienteres om datasikkerhedsbruddet.

Tænk i "privacy by design" og "privacy by default"

Disse to principper er helt centrale. Helt overordnet handler det om, at virksomheden altid skal tænke databeskyttelse ind i ligningen - både ved udvikling af nye produkter, drift af virksomheden og indsamling af personlige oplysninger fra kunder, ansatte, samarbejdspartnere med videre.

Tech-startups kan her have en vis fordel, idet de ofte er meget omstillingsparate og typisk ikke kræver et større antal ressourcer for at tilpasse sig.

Læs mere om de to nye principper i denne klumme.

It-sikkerhed

For mange tech-startups er it-sikkerhed noget, der kommer "efterhånden".

Sikkerheden bliver ofte skubbet i baggrunden til fordel for udviklingsprocessen, og det vil forordningen lave om på blandt andet gennem princippet om privacy by design.

Det handler om at indarbejde datasikkerhed i mentaliteten hos tech-startups, så det pr. automatik ligger i toppen af prioriteringslisten.

Allerede i de indledende faser kan det nemlig blive nødvendigt for virksomheden at dokumentere, at den har implementeret "passende tekniske og organisatoriske sikkerhedsforanstaltninger".

Hvad der nærmere ligger i "passende" afhænger af resultatet af virksomhedens risikovurdering af den konkrete behandling af data.

Som tech-startup er det derfor vigtigt at tænke it-sikkerhed ind allerede i opstartsfasen, herunder vurdere mængden og karakteren af de oplysninger, som skal behandles og herefter implementere og dokumentere sikkerhedsforanstaltninger i tråd hermed.

(Tak til mine Bird & Bird kollegaer, studentermedhjælper Mathias Bartholdy, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget)



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Læs indlæg
Artikel teaser billede

Jonathan Løw

Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?

Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Artikel teaser billede

David Guldager

Guldager: Jeg har bare tre enkle ønsker til min næste bil

Artikel teaser billede

Jacqueline Johnson

Dansk IT: Hvad du som CIO bør vide om AI Act

Mest læste klummer og blogs
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
Klumme: ChatGPT opfører sig som en høflig og tålmodig, amerikansk DJØF'er, og den vil SÅ gerne please os. Der er stadig brug for os.
Af: Mogens Nørgaard
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Dansk IT: Hvad du som CIO bør vide om AI Act
Klumme: I marts blev EU’s forordning om AI endeligt besluttet. Dele af den træder i kraft til efteråret og resten i løbet af 2026. Men det betaler sig at have en grundig forståelse af de mest betydningsfulde dele allerede nu. Her er fire områder, hvor I bør være ekstra opmærksomme.
Af: Jacqueline Johnson
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion Andreas Holbak Espersen
Derfor er den nye digitale taskforce det helt rigtige initiativ
Læs indlæg

Premium
Teaser billede
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Læs mere »
Cyber-gidselforhandler løfter sløret: Sådan undgår du at blive ramt af den frygtede 'double whammy'
Her er de 10 bedste arbejdspladser i den danske it-branche
Sådan har Novo sat AI i arbejde: Læs Computerworlds store temanummer om AI i forretningen
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Se alle »
CIO
Teaser billede
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Danske CloudNordic går konkurs efter stort ransomware-angreb
Stort angreb skyller ind over en lang række VPN-tjenester: Løsninger fra Cisco, Fortinet og andre ramt
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Læs mere »
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
MDR: Transparent sikkerhed og overvågning i realtid
Opdag fordelene ved cloud-baseret backup og recovery
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »