Berlingske Business
16:27Eurozonen: Forbrugertilliden lidt bedre end ventet i oktober

Kammeradvokaten: Data-disciplin bliver en hastesag

billede

Nye krav til sikkerhed og dokumentation er sammen med truslen om store bøder grundlæggende elementer i den nye persondataforordning. Det udfordrer både virksomheder og myndigheder, og selv om reglerne først har virkning fra 2018, haster det med forberedelsen.

Uret tikker på dataområdet, hvor EUs persondataforordning nu er vedtaget. Og selv om der stadig er næsten to år tilbage på den digitale urskive, bør såvel virksomheder som offentlige myndigheder allerede nu sætte gang i de nødvendige analyser og tiltag. Sådan lyder meldingen fra Kammeradvokaten, der som juridisk rådgiver for en lang række offentlige myndigheder følger den nye forordning tæt.

De nye krav har virkning fra den 25. maj 2018, men der er meget at se til – og for dem, der ikke når det, risikerer hammeren at falde hårdt. Med forordningen følger nemlig væsentligt højere bøder for overtrædelser – helt op til  20 mio. Euro eller 4 pct. af årlig global omsætning for virksomheder.

Store ændringer inden for datasikkerhed
”Forordningen har primært fokus på to ting. Det ene er, hvornår man har lov til at behandle personoplysninger, og her sker der ikke så store ændringer i forhold til i dag. Det andet er krav til datasikkerheden, og her sker der en del nyt. De dataansvarlige myndigheder og virksomheder kommer i langt højere grad til at stå på mål for, at man har foretaget de nødvendige foranstaltninger,” siger advokat hos Kammeradvokaten, Jesper Nørøxe. Han forklarer, at de nye krav i forordningen navnlig handler om skærpede  krav til dokumentation for overholdelse af forordningen, transparens i databehandlingen og pligt til at tænke databeskyttelse ind i procedurer og systemer, f.eks. nye it-løsninger.

Hertil kommer – ikke mindst  kravet om udpegning af en databeskyttelsesansvarlig (DPO) i myndigheder, der indsamler personoplysninger.
”Det kræver en høj grad af overblik at kunne dokumentere sin compliance, og i organisationer, der behandler meget store datamængder, vil det være en tidskrævende proces at danne det overblik. Derfor er det gode råd helt kort: Sæt i gang nu,” siger Jesper Nørøxe.

Læs mere om hvordan et persondataretligt compliance-tjek kan hindre fejl

Flere ubekendte
Netop compliance- og dokumentationsdelen fylder meget i den specialiserede rådgivning, Kammeradvokaten har udviklet i forbindelse med persondataforordningen. Både fordi det må forventes at være et fokusområde for Datatilsynet  i forbindelse med kontrol med overholdelse, og fordi dokumentation af databehandlinger helt enkelt udgør grundlaget for at kunne overholde adskillige af de nye krav.

Samtidigt er der en række ubekendte i forhold til den endelige regulering af kravene i dansk lovgivning, hvor en projektgruppe under Justitsministeriet frem mod 2018 arbejder med den danske regulering, som kommer til at supplere forordningens regler. Det gælder blandt andet det endelige bødeniveau, hvordan bøderne rent administrativt tildeles samt den endelige fastlæggelse af rammerne for den såkaldte DPO. Det forklarer partner og advokat Jakob Kamby.
”Bøder har fyldt enormt meget i omtalen af forordningen, og der er ingen tvivl om, at vi vil se bøderne til i hvert fald private virksomheder få et ordentligt nøk op,” siger han og forklarer, at persondataforordningen nok her henter inspiration fra konkurrenceområdet, hvor EU flere gange har udstedt milliardbøder.


”Det skyldes, at man for mange gange har oplevet, at datasikkerheden og reglerne på området er blevet krænket. Det ligger dog endnu ikke fast, hvilke sanktionsmuligheder der skal gælde for offentlige myndigheder,” siger Jakob Kamby.
I den forbindelse fremhæver han, at der i forordningen er hjemmel til erstatning for såkaldt immateriel skade. Og sådanne erstatningskrav vil naturligvis også kunne rettes mod myndigheder.

Styr på aftalerne
Et af formålene med persondataforordningen er at forebygge store datalæk og misbrug af oplysninger, men også at få tænkt databeskyttelse mere direkte ind i IT-løsningerne. Derfor stilles der også krav om såkaldte konsekvensanalyser, hvor den enkelte myndighed eller virksomhed vurderer, hvilke risici der er forbundet med behandlingen af de data, man indsamler.
”Det forudsætter, at man foretager en grundig analyse af det dataflow, der indgår i systemerne, herunder også de aftaler den dataansvarlige har med sine databehandlere,” siger Jakob Kamby og fortsætter:


”Her har der tidligere ikke været ret klare krav til, hvordan sådanne databehandleraftaler skal udformes, og der er stor forskel på de aftaler, der ligger rundt omkring i dag. Med forordningen fastsættes der klarere indholdsmæssige krav til aftalerne, og derfor vil der være flere myndigheder og virksomheder, der skal i gang med at revidere eksisterende aftaler,” siger han.

Læs mere om, hvordan virksomheder og myndigheder kan forberede sig til de nye persondataregler

DPO til en start
Forordningen introducerer en ny rolle i form af en databeskyttelsesrådgiver, som myndighederne og nogle private virksomheder skal have. Rollen stiller krav om uafhængighed og kompetencer hos indehaveren, og mange har derfor valgt at starte her. Databeskyttelsesrådgiverne kommer til at spille en central rolle i forberedelsen til de nye regler.

”Vi ser, at mange myndigheder starter med at organisere sig i projekter for at kunne gennemføre de nye regler i resten af organisationen. Her spiller de kommende databeskyttelsesrådgivere en central rolle, da de bl.a. på den måde kan få den fornødne indsigt i databehandlingen på et tidligt tidspunkt,” siger Jakob Kamby.

Hos Kammeradvokaten har arbejdet med forordningen blandt andet ført til udviklingen af en firedages DPO-uddannelse, der går i luften i efteråret 2016. Den er fordelt på et ”grundlæggende” og et ”udvidet” forløb – begge med fokus på helt konkrete scenarier. Her vil deltagerne få viden og værktøjer til at udfylde den kommende rolle som DPO’er. Også her er der fortsat en række ubekendte i forhold til de præcise rammer, DPO-rollen skal fungere i.

Forsiden lige nu

Til forsiden

Business anbefaler

Gratis breaking news på mobilen

Send BUSINESS BREAK til 1929 og modtag en SMS med en bekræftelse. Det er gratis - tilmelding koster kun almindelig takst. Du kan til hver en tid afmelde tjenesten igen.

Afmeld: sms BUSINESS BREAK STOP til 1929

Tilmeld Afmeld

Business Nyhedsbrev

Få breaking news og det bedste overblik fra Business.dk morgen og eftermiddag - eller modtag hver uge et prioriteret overblik over investorstof, privatøkonomi, ejendomme, digtal, karriere, media og vækst.

Se alle nyhedsbreve
 

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

<p>Henrik Olejasz Larsen, investeringsdirektør i Sampension</p>
Sponseret

Aktiemarkederne ligger historisk set forholdsvis højt. Det afspejler, at det går rigtig godt i den underliggende økonomi, forklarer investeringsdirektør.Arbejdsløsheden er rekordlav i både Japan og US...

Business Events Se alle

Business.dk anvender cookies til at huske dine indstillinger, statistik og at målrette annoncer. Denne information deles med tredjepart. Læs mere

Kære læser. Velkommen til business.dk.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer. Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

Vi håber derfor, at du i din adblocker vil tillade visning af annoncer fra business.dk Det er nemt og tager kun et øjeblik: Se hvordan du gør her.

Med venlig hilsen
Berlingske Business

Tilbage til artiklen