Nystartet tech-firma? Her er det, du skal vide om persondataforordningen

Klumme: Skal et nystartet it-firma også have en data protection officer? Og hvad med kundernes "ret til at blive glemt"? Få styr på reglerne her.

I løbet af den seneste tid har jeg i mine klummer forsøgt at klarlægge konsekvenserne af den nye persondataforordning.

Denne klumme - min sidste om dette emne i denne omgang - vil derfor være en form for opsummering af mine tidligere klummer med fokus på forordningens konsekvenser for særligt nystiftede virksomheder, der beskæftiger sig med teknologi.

Tech-startups særlige karakter medfører, at visse dele af forordningen bliver henholdsvis mere eller mindre relevante.

Vent med DPO'en
Tech-startups har, grundet de seneste ændringer i forordningen, som udgangspunkt ingen grund til at skynde sig ud og finde en Data Protection Officer.

Som jeg også i et tidligere indlæg har nævnt, er DPO'er kun et krav, såfremt virksomheden behandler data, som efter deres karakter, anvendelsesområde eller formål kræver regelmæssig og systematisk overvågning af personer på en stor skala, eller hvis virksomhedens kerneaktivitet består af behandling af følsomme oplysninger i stor skala eller oplysninger om kriminelle forhold.

Det bliver med andre ord først relevant, når databehandlingen har en ganske betydelig størrelse.

Få styr på procedurerne
Ja, sjældent har en overskrift lydt så kedelig.

Det er imidlertid meget vigtigt. Særligt to interne procedurer bør være på plads før forordningens endelige ikrafttræden:

1. Procedure for håndtering af "retten til at blive glemt"
Eftersom tech-startups ofte benytter tredjeparter til databehandling, for eksempel via cloud ser-vices, er det meget vigtigt, at virksomheden har et komplet overblik over disse tredjeparter og en klar procedure for, hvordan henvendelser fra kunder om "retten til at blive glemt" skal håndteres.

Hvis en kunde gør brug af sin "ret til at blive glemt" overfor virksomheden, er virksomheden nemlig forpligtet til at slette egne oplysninger (medmindre behandling af oplysningerne er nødvendige for for eksempel udøvelse af retten til frihed, ytrings- og informationsfriheden) og informere alle tredjeparter, der behandler oplysningerne (forudsat at virksomheden har offentliggjort oplysningerne).

Lav derfor en liste med alle tredjeparter, der videregives oplysninger til, og en procedure for, hvordan kontakten med såvel kunden og tredjeparter skal håndteres.

2. Underretningsprocedure ved datasikkerhedsbrud
Når der alene i Danmark sker adskillige tusinde hackerforsøg om dagen, er det naivt for en virksomhed - især en tech-startup - at tro, at der ikke vil ske et datasikkerhedsbrud før eller siden.

Indberetningsfristen til Datatilsynet er ifølge forordningen 72 timer, så der er altså ikke meget tid at gøre med. Det er derfor vigtigt, at der ligger en procedure klar (som de ansatte er bekendt med), hvis uheldet er ude.

Man skal desuden have for øje, at også datasubjektet i visse tilfælde skal orienteres om datasikkerhedsbruddet.

Tænk i "privacy by design" og "privacy by default"
Disse to principper er helt centrale. Helt overordnet handler det om, at virksomheden altid skal tænke databeskyttelse ind i ligningen - både ved udvikling af nye produkter, drift af virksomheden og indsamling af personlige oplysninger fra kunder, ansatte, samarbejdspartnere med videre.

Tech-startups kan her have en vis fordel, idet de ofte er meget omstillingsparate og typisk ikke kræver et større antal ressourcer for at tilpasse sig.

Læs mere om de to nye principper i denne klumme.

It-sikkerhed
For mange tech-startups er it-sikkerhed noget, der kommer "efterhånden".

Sikkerheden bliver ofte skubbet i baggrunden til fordel for udviklingsprocessen, og det vil forordningen lave om på blandt andet gennem princippet om privacy by design.

Det handler om at indarbejde datasikkerhed i mentaliteten hos tech-startups, så det pr. automatik ligger i toppen af prioriteringslisten.

Allerede i de indledende faser kan det nemlig blive nødvendigt for virksomheden at dokumentere, at den har implementeret "passende tekniske og organisatoriske sikkerhedsforanstaltninger".

Hvad der nærmere ligger i "passende" afhænger af resultatet af virksomhedens risikovurdering af den konkrete behandling af data.

Som tech-startup er det derfor vigtigt at tænke it-sikkerhed ind allerede i opstartsfasen, herunder vurdere mængden og karakteren af de oplysninger, som skal behandles og herefter implementere og dokumentere sikkerhedsforanstaltninger i tråd hermed.

(Tak til mine Bird & Bird kollegaer, studentermedhjælper Mathias Bartholdy, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget)



Premium
Digitalisering har været motoren: Landets største virksomheder har hævet produktiviteten med 10 milliarder kroner under corona
Corona-krisen har ført til øget produktivitet og en øget digital indsats. Ny undersøgelse dokumenterer sort på hvidt, at produktiviteten for en række virksomheder er øget under corona.
Computerworld
Det nye MitID er et tigerspring for bedre cybersikkerhed
Klumme: Det nye MitID er en enestående mulighed for et markant løft af it-sikkerheden i danske kommuner. Med baggrund i udfasningen af det nuværende NemID kan de samtidig forbedre og styrke deres it-systemers værn overfor cyberangreb.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Sådan: Fem måder at sikre dine medarbejdere på hjemmekontoret
Gennem de seneste år har arbejde hjemmefra vundet langt større gehør, selv i relativt traditionelt indstillede virksomheder, og med Covid-19 blev det i perioder en uomgængelig del af hverdagen. Men alt tyder på, at et langt mere fleksibelt arbejdsliv er kommet for at blive, også når corona slipper sit greb. Hjemme er medarbejderne – og i særdeleshed de systemer og data, de har adgang til – imidlertid langt mere udsatte for cyberangreb end bag virksomhedens firewall og andre sikkerhedsforanstaltninger. På den ene side er der altså behov for let og fleksibel adgang til centrale værktøjer og en udstrakt grad af self-service. På den anden side er det helt afgørende at sikre medarbejder, data og systemer mere grundigt end hidtil – også udenfor virksomhedens eget netværk. I denne hvidbog kan du læse mere om, hvordan værktøjerne i RSA SecurID Access kan være med til at løfte opgaven.