Systemer og procedurer skal testes nu: Kan du fjerne persondata fra jeres backup?

Klumme: Skønt persondataforordningen først bliver håndhævet fra næste år, er det på høje tid at sikre, at I kan overholde kravene, skriver Henrik Larsen fra DKCERT i denne klumme.

For et par år siden forlod en medarbejder din virksomhed. De sidste udeståender om skat og feriepenge er ude af verden.

Kan I slette alle oplysninger om medarbejderen i jeres it-systemer? Kan I slette data om medarbejderen i jeres sikkerhedskopier?

Det sidste punkt vil nok volde mange organisationer problemer. Men det er et krav i EU's generelle databeskyttelsesforordning.

Måske tænker du, at det kan vente. Den gælder jo først fra den 25. maj 2018.

Men det er ikke rigtigt. Fra den 25. maj 2018 bliver kravene i forordningen håndhævet. Det er med andre ord sidste frist til at få styr på dem, før det får konsekvenser.

Læs også: Undgå EU-bøder for brud på persondata-reglerne: Her ligger sikkerhedsansvaret i din virksomhed

Databeskyttelsesforordningen, der også går under navnet "persondataforordningen", indfører fælles regler i alle EU-lande for behandlingen af data om personer.

Den afløser det direktiv fra 1995, der ligger til grund for Danmarks nuværende persondatalov.

Et bærende princip i forordningen er, at borgerne har indflydelse på, hvordan data om dem behandles.

Vi har ret til at blive glemt
Retten til at blive glemt er en konsekvens. Som der står i Artikel 17 stk. 1:

"Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende."

Det første forhold, der nævnes, er meget enkelt: Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet.

Det kan fx være data om en kunde, der ikke længere handler i ens netshop.

Her har organisationen altså pligt til at slette data.

Hvornår er data slettet?
Hvornår er data så slettet? Er det tilstrækkeligt, at de ikke længere er aktive i driftssystemerne? Eller skal enhver sikkerhedskopi også renses?

I praksis vil det være meget vanskeligt at fjerne alle oplysninger om en person fra alle kopier. Nogle sikkerhedskopier kan være arkiveret på dvd'er eller andre medier, der ikke kan redigeres i.

Her vil det i sidste ende kræve, at sikkerhedskopien indlæses, persondata slettes, hvorefter der gemmes en ny sikkerhedskopi og den oprindelige destrueres.

Læs også: Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning

Hvor skrappe de tekniske krav bliver, ved vi endnu ikke. Det må retspraksis vise - måske kommer der certificerede teknologiske løsninger, man kan vælge.

Men prøv at udføre tankeeksperimentet: Hvor godt vil jeres virksomhed eller organisation være i stand til at opfylde kravene i databeskyttelsesforordningen?

Det er vigtigt at tænke forordningen ind i jeres procedurer og systemer allerede nu.

For eksempel skal I gennemføre en "konsekvensanalyse vedrørende databeskyttelse", hvis jeres databehandling medfører en høj risiko for personers data.

I skal være forberedt på at behandle brud på datasikkerheden. Således skal I være i stand til at anmelde et brud til Datatilsynet inden for 72 timer.

Skal I have en DPO?
Nyt i forordningen er også kravet om, at nogle organisationer og virksomheder skal have en databeskyttelsesrådgiver eller DPO (Data Protection Officer). Det gælder alle offentlige institutioner.

Private virksomheder og organisationer skal have en databeskyttelsesrådgiver, hvis behandling af persondata er deres primære opgave - eller hvis de systematisk indsamler data om mange personer.

Databeskyttelsesrådgiverens opgave er primært at sikre, at organisationen overholder forordningens krav.

De danske universiteter er allerede godt i gang med at forberede sig på opgaven. De ser blandt andet på muligheden af at lade flere institutioner deles om en databeskyttelsesrådgiver.

Tilsyn får sanktionsmuligheder
Hvis I allerede har styr på persondataloven og sikkerhedsbekendtgørelsen, er I godt på vej. Hovedparten af bestemmelserne i den nye forordning ligner dem, vi kender i forvejen.

En meget vigtig forskel er imidlertid, at Datatilsynet nu får reelle sanktionsmuligheder.

I dag er tilsynets stærkeste magtmiddel reelt, at det kan skrive sin kritik i en afgørelse med fed skrift.

Men efter den 25. maj 2018 får myndighederne mulighed for at udstede bødeforlæg og for at forbyde visse databehandlinger med høj risiko.

Jeg tror, at en del organisationer og virksomheder hidtil har taget meget let på kravene i persondataloven. De ser Datatilsynet som en papirtiger, så risikoen ved ikke at overholde loven opfattes som lille.

Det vil ændre sig.

Dermed kan indførelsen af databeskyttelsesforordningen føre til et højere sikkerhedsniveau generelt - og især inden for beskyttelsen af persondata.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.


Læs også:

Undgå EU-bøder for brud på persondata-reglerne: Her ligger sikkerhedsansvaret i din virksomhed

Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning




Premium
ERP-virksomhed har indført ubegrænset ferie for alle medarbejdere - og resultatet er en succes: "Medarbejderne knokler og har et smil på læben"
ERP-virksomheden Unit4 har indført ubegrænset betalt ferie for samtlige medarbejdere verden over, hvor man som ansat nu selv kan bestemme. "Som direktør har jeg det rigtig godt med det", siger dansk landechef Anders Holm Jørgensen. Ifølge ham kan medarbejderne sagtens administrere ordningen.
Computerworld
Stein Bagger gør comeback i ny branche: "De lignede et mafiahold, førte sig frem som nyrige og plaprede løs om urealistiske drømme"
Stein Bagger har skiftet navn og fører sig nu frem i store biler i en helt ny branche, skriver en dansk avis.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Sådan sælger du nemt IT-sikkerhed og backup som en service – og styrker din indtjening
Den klassiske forhandlermodel med salg af produkter er under pres. Som IT-forhandler er du enormt konkurrenceudsat og de kunder der køber, er ikke altid loyale. Den hårde konkurrence giver samtidig stærkt begrænsede margener. For kunden er det er mere besværligt købe produkter end det er at købe services og du risikerer derfor, at kunden smutter over til en nemmere og mere fleksibel løsning - det vil sige til nogen, der sælger services. Nøglen til vækst er ofte at påtage sig rollen som managed service provider. Her tilbyder du en pakke af services, der komplementerer primærproduktet og løser en udfordring for kunden – og styrker dit salg og din indtjening. Du opnår en løbende indtægt, en tættere relation til dine kunder og en fleksibilitet og skalerbarhed, som kun skyen kan tilbyde. Et oplagt eksempel er en kombination af salg af services som cyberbeskyttelse og backup. I denne hvidbog får du konkrete råd til, hvordan du kommer i gang med at optimere din forretningsmodel.