Syv praktiske råd om EU's persondata-regler: Sådan kommer din virksomhed helt i mål

EU's persondataforordning bliver en del af den danske lovgivning om to års tid. Selvom der er meget at pløje igennem, får du her syv praktiske råd til at undgå store datakatastrofer og medfølgende kæmpebøder.

Når du skal spise en elefant, er det altid en god ide at tage én bid af gangen.

Således gælder det også fordøjelsen af EU's persondataforordning, som er gældende lovgivning i alle EU-medlemsstater inklusiv Danmark fra cirka midten af 2018.

Ved første øjekast kan forordningen virke som en næsten uendelig strøm af stramninger og kringelkroge af regelsæt, der ved overtrædelse både kan koste bøder i forhold til omsætningen og prestigetab ved meldepligt om tabte data

Det kan du læse mere om her: Disse tre ting i EU's nye persondata-lov er danske virksomheder især bekymrede over

Det er ikke raketvidenskab
En god, systematisk planlægning er dog vejen frem igennem den digre persondataforordning ud fra devisen, at hvis du fejler i din planlægning, planlægger du at fejle.

Du og din virksomhed har omkring to års tid til at forberede jer på den nye persondatalovgivning.

Det er ikke er oceaner af tid set i lyset af, hvor omfattende det nye lovkompleks bliver.

Derfor serverer Computerworld dig med hjælp fra advokat og partner Michael Hopp fra advokatfirmaet Plesner syv gode råd til at blive persondata-klar.

"At blive klar til persondata-reglerne er absolut ikke rocket science, men det er dataarbejde på den hårde måde," forklarer Michael Hopp indledningsvist.

1. råd: Skab overblik over data
Advokaten foreslår, at du først og fremmest skal finde ud af, hvad det egentlig er for nogle persondata, som din virksomhed skal beskytte.

Konkret peger han på, at den indledende del af dataarbejdet foregår ved at klassificere og kortlægge virksomhedens persondata.

Det gælder lige fra alle data som oplysninger om kontaktpersoner i sælgernes CRM-systemer over indsamling af e-mailadresser og telefonnumre ved konkurrencer i marketingafdelingen og så til de mere følsomme persondata.

"Overblikket skabes ved, at relevante dele af forretningen sætter sig ned sammen og finder ud af hvilke former for data, som virksomheden ligger inde med både lokalt og hos cloud- og outsourcingpartnere. Her er it-afdelingen et godt sted at starte," lyder det fra Michael Hopp.

I denne fase peger advokaten på, at din virksomhed skal kigge indad og spørge sig selv om, hvilke data I har liggende, hvor kommer de fra, hvor længe gemmer I disse data, og hvem deler man dem med.

2. råd: Hvad gælder for jer?
Når I har kortlagt og klassificeret data, er det på tide at finde ud af hvilket bestemmelser i forordningen, som gælder jeres virksomhed.

For det kan blive dyrt ikke at overholde reglerne. Men omvendt er det også dyrt at bruge ressourcer på at overholde krav, som man hverken er forpligtet til eller af anden årsag har interesse i at overholde.

"Ikke alle regler er altid relevante for alle virksomheder. Nogle af bestemmelserne er skærpende - eksempelvis kravene om behandling af følsomme oplysninger - mens andre andre bestemmelser undtager for pligter. Det er for eksempel ikke alle virksomheder, der skal udpege en data protection officer," siger Michael Hopp.

Læs også: Skal din virksomhed have en 'data protection officer'?... og kan indkøbschefen bruges?

3. råd: Kig på jeres nuværende praksis
I forordningen er der generelt flere skærpelser end lempelser, og derfor skal din virksomhed som udgangspunkt også have styr på, hvordan I overholder reglerne i dag.

"Der vil sandsynligvis være mange, der har behov for at justere deres processer og praksis for at leve helt op til reglerne," siger Michael Hopp.

Han peger på, at I skal analysere jer frem til, om I har huller i overholdelsen af de nuværende regler, og om der er nogle alvorlige og åbenlyse mangler, som kræver umiddelbar handling her og nu.

"Her skal virksomheden kort og godt spørge sig selv: hvordan bruger vi persondata i dag, og er det i overensstemmelse med forordningen," forklarer Michael Hopp.

4. råd: Beskriv virksomhedens kontrolmål
Når virksomheden har fået styr på sin nuværende praksis omkring opbevaring, brug, sletning og deling af persondata ifølge forordningen, er det på tide at kigge fremad mod den løbende vedligeholdelse af forordningen.

Læs også: Sådan gør Coop sig klar til nye skrappe persondata-regler fra EU

Det skal gøres ved at beskrive de målsætninger, som I skal leve op til med de nye regler.

"Denne øvelse handler om at udtrække essensen af forordningens 99 artikler til en række konkrete målsætninger," forklarer Michael Hopp.

Han eksemplificerer det med, at disse målsætninger kunne være, at der skal iværksættes processer og kontroller til at sikre, at man overholder slettefrister. Det kunne også dreje sig om indsamling af mailadresser til markedsføringsformål, hvor I systematisk skal sikre jer, at alle har samtykket til brugen.

"Vent med at tage stilling til, hvordan I konkret vil opfylde målsætningerne. En del af dem opfylder I måske allerede, og for de øvrige målsætningers vedkommende giver det mening at overveje, hvordan I mest hensigtsmæssigt kan opfylde dem," siger Michael Hopp og fortsætter:

"Når I har overblik over alle kravene, vil I have bedre mulighed for at designe løsninger, hvor enkelte processer eller kontroller bidrager til at opfylde flere kontrolmål."

5. råd: Foretag en risikovurdering
Advokaten forklarer, at store dele af EU's persondataforordning - og dermed den kommende lovgivning - bygger på nødvendigheden af at nedbringe risikoen for de registrerede personer.

"Man skal gøre, hvad der er nødvendigt for at nedbringe risikoen for den registrerede til et acceptabelt niveau. Med andre ord - man er ikke forpligtet til at opretholde foranstaltninger, hvis det ikke er nødvendigt for at nedbringe en risiko," siger Michael Hopp.

Han peger på, at risiko i denne forbindelse ikke blot er rettet mod almindelig sikkerhed, men også mod, om man overtræder de almindelige krav i forordningen.

"Med andre ord: man skal foretage en risikovurdering eksempelvis i forhold til, hvad risikoen er for, at man ikke overholder slettepligten, og hvad konsekvensen af manglende overholdelse vil være for den registreredes ret til beskyttelse af sine persondata," siger han. 

Læs også: Opråb til alle chefer: EU-stramningen af persondata-reglerne er dit ansvar

Samtidig er en virksomhed dog forpligtet til at dokumentere, hvordan den har overvejet relevante risisci herunder ikke mindst de risici, som man vælger ikke at fokusere på.

"Her er grundspørgsmålet: hvor alvorligt er det, hvis det går galt?" nævner Plesner-advokaten og fortsætter:

"Virksomheden skal have for øje, at optimal og maksimal indsats ikke er det samme. Førsteprioritet omkring risikovurderingen vil ofte ligge i de følsomme oplysninger som eksempelvis helbredsoplysninger om kontaktpersoner i virksomhedens CRM-system."

6. råd: Design løsningen
Når virksomheden har fået overblik over dens nuværende beholdning af persondata, processer og kontroller til fremtidig styring af data og de områder, hvor den i dag ikke lever op til forordningen, er det på tide at få klargjort, hvordan virksomheden så kommer på plads med manglerne.

"Det gælder både de konkrete mangler i forhold til aktuelle behandlinger i dag, og så mangler i forhold til opfyldelse af kontrolmål, hvilket vil sige processer for sikring af fremtidig overholdelse," siger Michael Hopp.

Han peger her på henholdsvis tredje råd og fjerde råd i denne oversigt.

Han forklarer, at det nu er på tide at designe og dimensionere løsningernes håndtering af persondata i overensstemmelse med den risikoanalyse, som er beskrevet under femte råd.

"Det hele skal dokumenteres omend i varierende detaljeringsgrad. For du overtræder reglerne, hvis du bliver udsat for kontrol og ikke kan svare. Med andre ord skal du have dokumentationen på plads, hvis/når myndighederne kontakter dig," lyder det fra Michael Hopp.


Tilmeld dig Computerworlds heldags-seminar om den nye persondataforordning: Computerworld Event: Bliv klar til EU's nye persondataforordning.

7. råd: Konkret implementering og opfølgning
Når alt er diskuteret og dokumenteret i form af fremtidige processer og nuværende mangler, skal I have implementeret det kommende regelsæt i praksis - og ikke mindst planlægge hvordan I løbende følger op på implementeringen.

Læs også: Så voldsomt vil nye EU-regler ramme danske virksomheder: 10 virksomheder vil skulle erkende hacker-angreb hver eneste dag

For ingen perfekt plan hjælper noget, hvis den ikke bliver ført ud i livet, og der bliver fulgt op på den.

"Implementering af forbedringer samt nye processer og kontroller bør følge virksomhedens normale processer for gennemførelse af forandringer. Her er det vigtigt ikke at undervurdere de organisatoriske og psykologiske faktorer, samt det heraf afledte behov for forandringsledelse," siger Michael Hopp.

Han pointerer, at både implementering og opfølgning formentlig kræver intern uddannelse af alle medarbejdere, der har at gøre med persondata - især hvis disse medarbejdere ikke ved, at de behandler persondata.

"Mange tænker eksempelvis ikke over, at de sidder med persondata mellem hænderne, når de modtager et CV til en jobansøgning. I disse tilfælde skal medarbejderne være opmærksomme på særlige regler og procedurer," forklarer Michael Hopp.

Advokaten runder virksomhedens huskeliste af med at tilskynde til opfølgning af, hvorvidt reglerne og virksomhedens processer nu også bliver overholdt i praksis efter en periode på tre til seks måneder.

"Det ses ofte, at forandringer ikke slår igennem i virksomheder, der ikke følger op. I så fald kan indsatsen i rådene fra 1 til 6 give ledelsen en falsk tryghed, hvilket i sidste ende kan være værre end en positiv viden om tingenes reelle og måske mangelfulde tilstand."

Læs også:
Overblik: Få styr på EU's nye persondata-forordning - her er alt du behøver at vide


Tilmeld dig Computerworlds heldags-seminar om den nye persondataforordning: Computerworld Event: Bliv klar til EU's nye persondataforordning.




Premium
TDC trak sig fra fiberudrulning og smækkede med døren i Slagelse Kommune: Nu graver TDC igen i kommunen
Efter flere måneders stridigheder mellem TDC og Slagelse Kommune valgte teleselskabet af afblæse fiberudrulningen i byen. Nu viser det sig, at Danmarks største teleselskab igen graver fibernet ned i kommunen.
Computerworld
YouSee lancerer ny streamingtjeneste i Danmark
Efter sommerferien går YouSee i luften med et nyt streamingtilbud til danskerne, der beskrives som et af verdens mest streamende folkefærd.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Sådan: Giv medarbejderne frit valg og øg arbejdsglæden
Mange virksomheder udleverer stadig samme smartphone, laptop eller tablet til alle medarbejderne. Det kan koste dyrt på produktivitet, effektivitet, arbejdsglæde – og reelt også medføre ressourcespild, massivt øget administration og øgede sikkerhedsrisici. Men det behøver slet ikke at koste ekstra, hvis du giver medarbejderne indflydelse på, hvilke enheder de skal arbejde på. Tværtimod kan du med en gennemtænkt choose-your-own-device-aftale stille præcis det udvalg af enheder og tilbehør til rådighed, som både lever op til medarbejdernes forventninger og virksomhedens sikkerhedskrav.