Få en snak med en af vores salgskonsulenter via vores live chat

GDPR og den nye danske persondataforordning

Kort fortalt om den nye danske persondataforordning og GDPR

Den 25. maj 2018 trådte den nye danske persondataforordning og den europæiske GDRP lovgivning i kraft.

Dette betyder at man via lovgivning ønsker at beskytte den enkelte borger mod misbrug af deres følsomme persondata, udover den almindelige persondata beskyttelse, som vi hidtil har kendt til.

Der er ikke noget at sige til, at de fleste danske (og europæiske) virksomheder og organisationer, har travlt med og måske endda stressede over det ekstra arbejde, som dette nye lovgivnings tiltag medfører.

Det er dog i vores allesammens interesse, at vores personfølsomme data ikke blot blive delt rundt på servere, herunder behandles af diverse organisationer verden over uden vores forudindgående accept og godkendelse.

Derfor er GDPR lovgivningen, der præger den nye danske persondataforordning, en god ting for os alle, omend at den også medfører at den (eller de) udpegede dataansvarlige i virksomheden nu skal dokumentere alt omkring hvor sådanne data befinder sig. Dertil skal den dataansvarlige ligeledes sikre at de opbevares på en sikker måde, herunder dokumentere hvad de bruges til og at data behandles korrekt (både nu og fremover).

Denne nye rolle kaldes en Data Protection Officer (DPO) og er en i virksomheden eller organisationen udpeget person, der fremover skal varetage ansvaret for dokumentation, kommunikation og sikring af personfølsomme data behandles .

 

Er du Jeres virksomheds Data Protection Officer (DPO)?

Er du således din virksomheds nye Data Protection Officer (DPO), eller på anden måde har ansvar for din virksomhed, hviler der er et stort ansvar på dine skuldre for at nå Datatilsynet’s deadline per 25. maj 2018, hvor forordningen træder i kraft.

Der er nemlig en mængde krav som skal opfyldes, for at Jeres virksomhed eller organisation ikke træder forkert ift. den nye forordning, idet personfølsomme data man må og skal (samt man har pligt til at) beskytte efter de nye regler udgør følgende.

 

Følsomme persondata

  • Politiske, religiøse og øvrige personlige overbevisninger
  • Tilhørsforhold til faggrupper, herunder politiske og fagforeninger
  • Oplysninger om helbred og sygdom
  • Seksuel orientering
  • Race og etnisk oprindelse

 

Almindelige (ikke følsomme) persondata er fx.

  • Navne, adresser og øvrige kontaktoplysninger
  • Løn og skat (ikke direkte skatteoplysninger)
  • Sygefravær i dage (ikke årsag)
  • Personnummer (CPR-nummer)
  • Familie, såsom antal børn, gift og ugift
  • Uddannelse
  • Eksamener og diplomer
  • Bolig (type af ejerbolig eller lejebolig)
  • Køretøj (bil, motorcykel osv.)

Disse oplysninger administreres og behandles allesammen i og af virksomheden, enten internt i egne IT systemer eller via en udpeget leverandør, såsom vores virksomhed, der i folkemunde også er kaldet en “hostingpartner”.

 

Dataansvarlig vs. Databehandler rollen

Vores virksomheds rolle som udpeget IT leverandør (eller hostingpartner) er således at levere datakraft og drift af IT systemer for virksomheder, hvor vi sikrer at de holdes i drift, tager backup og supporterer eventuelle kundehenvendelser.

De fleste virksomheder håndterer selv alting, og påtager sig udover rollen som dataansvarlig også rollen som databehandler. Outsources driftsansvaret til en virksomhed som vores, er det vores ansvar at være databehandler og dermed udstede en databehandler aftale til Jeres virksomhed.

Gør vi brug af en underleverandør i forbindelse med drift af Jeres løsning(er), er denne leverandør “underdatabehandler” og skal således udstede en underdatabehandler erklæring til vores virksomhed, førend vi kan udstede en databehandler erklæring (aftale) til Jeres virksomhed.

Der er således tre roller ialt, som en Data Protection Officer (DPO) udpeget af virksomheden skal kende til, herunder samarbejde med, for at få alle de nye procesbeskrivelser, dokumentation og dataindhold beskrevet i forhold til.

  • Dataansvarlig
  • Databehandler
  • Underdatabehandler

 

Dataansvarliges ansvar og rolle

Virksomheden eller organisationen har pligt (som Dataansvarlig) til at afgøre til hvilke formål, hvorledes og ved brug af hvilke værktøjer, der må foretages behandling af personoplysninger.

Det er den Dataansvarliges (virksomhedens/organisationens) pligt at foretage/sikre sig at;

  • Udpege en Data Protection Officer (DPO) og sikre (tilse) at personen udfylder rollen
  • Udarbejde en risikoanalyse og konsekvensbehandle/beskrive hver risiko individuelt
  • Sikre at de fornødne sikkerhedsforanstaltninger er iværksat (og virker)
  • Data protection by design, såsom anonymisering af persondata
  • Dokumentere hvorledes persondata behandles og på hvilke datamedier (og af hvem) de lagres
  • Give beked til Datatilsynet ved eventuelle sikkerhedsbrister indenfor rette tid fra brist

 

Databehandlerens ansvar og rolle

Virksomheden, som behandler personoplysninger på den dataansvarliges vegne.

Det er Databehandlerens (hostingpartnerens) pligt at foretage/sikre;

  • Udstede en databehandleraftale/erklæring til den dataansvarlige
  • Kun behandle data efter de af den dataansvarliges dokumenterede skriftlige instrukser
  • Sikre at alle ansatte, der behandler persondata på dataansvarliges vegne, har underskrevet en fortrolighedserklæring
  • Iværksætte egne sikkerhedsforanstaltninger og ditto bistår den dataansvarlige med at foretage en risikovurdering
  • Sikre at den rette ekspertise altid er tilstede, herunder levere en pålidelige garanti til den dataansvarlige, om at gennemføre af passende tekniske og organisatoriske foranstaltninger
  • Straks informere den dataansvarlige, hvis der er sket et brud på persondata (følsomme eller ej), således at den dataansvarliges udpegede Data Protection Officer (DPO) kan vurdere og rapportere til Datatilsynet omkring eventuelle brud på persondataforordningen
  • Udarbejde, løbende opdatere og vedligeholde en fortegnelse af alle kategorier og beskrivelser
  • af behandlingsaktiviteter

 

Hvordan kommer man så igang?

Vi tilbyder Jer at kontakte os for en drøftelse om hvordan Jeres virksomhed kommer igang med at leve op til den nye danske persondataforordning og GDPR i almindelighed.

Kontakt os på telefon +45 – 70 25 45 05 – eller start en chat med os her på siden.

Vi glæder os til at høre fra Jer.