Søg

Du har et halvt år til at få styr på håndteringen af persondata – her er, hvad du skal nå

Klumme: Persondata er meget mere end cpr-numre, så databeskyttelsesforordningen berører næsten alle virksomheder og organisationer.

24. november 2017 kl. 14.02
Artikel top billede

Henrik Larsen er chef for DKCERT.

Henrik Larsen Henrik Larsen Chef for DKCERT

I dag er der kun en måned til juleaften – har du styr på gaverne?

Når det er klaret, kan du kaste dig over en noget større opgave. Den har du et halvt år til, men det er også mere omfattende: At få styr på alle jeres organisations persondata.

Den 25. maj 2018 begynder myndighederne at håndhæve den databeskyttelsesforordning, som EU indførte sidste år.

Når jeg taler med universiteternes sikkerhedsfolk, får jeg indtryk af, at de er godt i gang med arbejdet. Men mange andre har slet ikke opdaget, hvor stor opgaven er.

Nogle siger, "Vi opbevarer ikke cpr-numre, så vi er ikke omfattet."

Men det er en misforståelse. Hvis I opbevarer enhver form for personhenførbar oplysning, skal I leve op til kravene.

Video, interviews, adresselister

I skal sikkert ikke have en databeskyttelsesrådgiver (DPO, Data Protection Officer). Det er kun virksomheder, der primært arbejder med persondata, og offentlige myndigheder, der skal det. Men derfor skal I alligevel overholde en række krav.

Det er fx nok, at I bare registrerer en mail-adresse eller telefonnummer om en person. Har I overvågningskameraer? Hvis de optager billeder af personer, er de optagelser også omfattet.

Vi talte for nylig med en uddannelsesinstitution, der mente, at de ikke havde mange personoplysninger. Det handlede kun om ansatte og studerende.

Så spurgte vi dem, hvordan de håndterede personer, der bliver interviewet til de studerendes opgaver? For data om de personer er naturligvis også omfattet.

Identificer persondata

Hvis I er godt i gang med arbejdet, har I sikkert allerede opdaget, hvor omfattende det kan være. Jeg kan kun sige tillykke med, at I er kommet i gang.

Hvis I ikke er begyndt at se på forordningens konsekvenser, er her et forslag til opgaver til det kommende halve år.

Begynd med at identificere, hvilke persondata I behandler.

Læs også: Danske organisationer kæmper med EU's persondataforordning: It-systemer dumper i massevis

For hver stump data kan I med det samme identificere, hvor, hvornår, hvordan og hvorfor I behandler den, samt med hvilken hjemmel I gør det.

Så skal I overveje, hvilke organisatoriske kontroller I anvender til at beskytte data.

Lige i hælene på den overvejelse følger jeres tekniske kontroller – adgangskontrol, kryptering og den slags.

Oplys, ret og slet

Databeskyttelsesforordningen har til formål at beskytte personers data. Den giver de registrerede personer en række rettigheder. Dem skal I kunne leve op til.

En registreret person har således ret til at få indsigt i, hvad I har registreret om vedkommende.

Hvordan kan I gøre det? Hvis der er registreret noget forkert, har personen ret til at få det korrigeret.

Hvordan kan I rette forkerte oplysninger? I nogle tilfælde har en person ret til at få slettet oplysninger om sig.

Hvordan kan I slette data om personer, der beder om det? 
Som det fremgår, får forordningen både organisatoriske og tekniske konsekvenser. Mange systemer er således ikke indrettet til at kunne slette data om en person fuldstændig.

Kan I for eksempel garantere, at de slettede data ikke kan gendannes fra en gammel sikkerhedskopi?

Ingen automatisk behandling

DKCERT deltager i en international arbejdsgruppe, der ser på forordningens konsekvenser for forskningsnettene. Her er vi for nylig blevet opmærksomme på eksperterne i den såkaldte Artikel 29-gruppes vurdering af reglerne om automatiseret sagsbehandling.

Forordningens artikel 22 lyder:

"Den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende."

Det fortolker eksperterne som et regulært forbud. Der er nogle undtagelser, men som hovedregel må den form for automatisk sagsbehandling ikke finde sted.

Foretager I kreditvurdering eller lignende som en automatiseret arbejdsgang? Så kan det være, I bliver nødt til at ændre den.

Som det fremgår, er der rigeligt at tage fat på.

Så måske skal du overlade julegaveindkøbet til en anden i familien og kaste dig over persondata. Som sagt: Der er kun et halvt år til den 25. maj 2018.

Henrik Larsen er chef for DKCERT.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeiC (Danish e-Infrastructure Cooperation).

Læs også:

Danske organisationer kæmper med EU's persondataforordning: It-systemer dumper i massevis

Professor: Minimal risiko for kæmpebøder til virksomheder når EU-persondataforordningen træder i kraft

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Netcompany A/S

    Linux Operations Engineer

    Københavnsområdet

    SOS International

    Principal Solution Architect

    Københavnsområdet

    Capgemini Danmark A/S

    IGNITE Graduate Program 2026

    Midtjylland

    Kompasbank A/S

    AI & Data Engineer

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Enterprise Architecture Day 2026: Sikker og strategisk suverænitet

    Infrastruktur | Horsens

    Enterprise Architecture Day 2026: Sikker og strategisk suverænitet

    Få ny inspiration til arbejdet med EA – fra sikkerhed og compliance til orkestrering, omkostningsoptimering og cloud governance i en usikker og ustabil tid.

    Executive roundtable: Cyberrobusthed i praksis

    Sikkerhed | Aarhus C

    Executive roundtable: Cyberrobusthed i praksis

    Cyberangreb rammer driften. NIS2 og DORA kræver dokumenteret gendannelse under pres. Få konkret metode til at teste, måle og bevise robusthed på tværs af cloud, SaaS og leverandører. Deltag i lukket roundtable med Commvault og Hitachi.

    Sådan etablerer du digital suverænitet

    Digital transformation | København Ø

    Sådan etablerer du digital suverænitet

    Digital suverænitet afgør kontrol over data, systemer og afhængigheder i Danmark. Computerworld samler Dansk Erhverv og IBM-eksperter om konkrete arkitekturvalg, governance og platforme, der sikrer reel kontrol. Få overblik og handlekraft.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    netIP har pr. 20. januar 2026 ansat Darnell Olsen som Datateknikerelev ved netIP's kontor i Herning. Han har tidligere beskæftiget sig med diverse opgaver omkring biludlejning, da han har været ansat hos Europcar. Nyt job

    Darnell Olsen

    netIP

    netIP har pr. 20. januar 2026 ansat Haukur Ingi Thordarson som Datateknikerelev ved netIP Thisted/Aalborg. Han er uddannet student fra Aarhus Akademi i 2019 og arbejdede derefter som lagerarbejder. Han har tidligere beskæftiget sig med IT-området, da han har været i gang med Datamatikerstudiet. Nyt job

    Haukur Ingi Thordarson

    netIP

    Adeno K/S har pr. 2. februar 2026 ansat Kia Harding Martinussen som ServiceNow Expert. Hun kommer fra en stilling som Principal Consultant hos Devoteam A/S. Nyt job

    Kia Harding Martinussen

    Adeno K/S

    netIP har pr. 20. januar 2026 ansat Magnus Futtrup Lynggaard som IT Supporterelev ved netIP's kontor i Herning. Han skal især beskæftige sig med relevante opgaver i ServiceDesk. Han er uddannet med en kontoruddannelse med speciale i administration. Nyt job

    Magnus Futtrup Lynggaard

    netIP

    Se mere fra navnenyt

    Mest læste

    1 Kalundborg Kommune har udviklet 11 AI-løsninger på egen hardware - har sparet kassen og 'lært rigtig meget af at bygge selv"
    2 Den danske top-CIO Jesper Kingo i stort karrierespring: Her er hans nye job
    3 Nyt gear til de unge: Apple lancerer sin MacBook Neo til denne studievenlige pris
    4 Test: Lyd i millionklassen med rør, vinyl og streaming – så ørerne næsten falder af
    5 Apple løfter sløret for den nye MacBook Pro med M5 - se priserne her
    6 Stor fyringsrunde i Danske Bank rammer it-ansatte
    7 Er stærkt bekymret over den vilde udvikling i Kina: De er lang foran Europa - og det er de europæiske politikeres skyld
    8 Halvdelen af de store ERP-kunder glipper ekstremt vigtig deadline: Det kommer til at koste

    Se seneste uge