25. maj og hvad så?

For mange er 25. maj 2018 nærmest blevet en magisk dato, fordi det er dagen, hvor EU’s persondataforordning træder i kraft. Men hvad sker der egentligt efter den dato?

Man kan hurtigt få den opfattelse, at det hele står og falder med den 25. maj.

– Og at hvis man bare løber ekstra stærkt og når at blive klar til netop den dag, så kan man efterfølgende bare slappe af og nyde sit data-otium i ro og mag.

Desværre forholder virkeligheden sig ikke helt sådan.

Det skal du gøre efter 25. maj

Persondataforordningen er ikke tænkt som en engangsforestilling, men som noget der kontinuerligt skal sikre EU-borgernes data i deres digitale hverdag.

Efter den 25 maj vil det derfor være vigtigt for virksomhederne, at de forsat har fokus på datasikkerhed, og løbende arbejder med at sikre et højt niveau af beskyttelse.

Som virksomhed er der seks overordnede områder, som du hele tiden skal være opmærksom på og arbejde med mht. persondataforordningen.

Fortegnelser

Fortegnelser over hvilke data man har registreret om hvem, og hvorfor man har gjort det, skal løbende opdateres. Hvis det er muligt, skal man også skrive, hvornår man forventer at slette personoplysninger (f.eks. at man sletter personoplysninger efter en undersøgelse er afsluttet).

Man skal også løbende beskrive, hvilke tekniske og organisatoriske foranstaltninger man har i virksomheden for at overholde persondataforordningens krav.

Samtykke

Det er ikke nok blot at have et samtykke fra de personer, hvis data man gemmer. Skal man bruge persondataene til nye formål (f.eks. hvis man vil have lov til at sende et nyt nyhedsbrev til sine kunder), så skal samtykket opdateres og accepteres på ny.

Har man persondata, som ikke længere skal bruges (f.eks. data man har indsamlet i forbindelse med en markedsanalyse), skal disse data slettes. Men må nemlig kun gemme de mest nødvendige persondata.

Udvikling af nye IT løsninger

Persondataforordningen sætter krav om Privacy-by-design/default, hvilket betyder, at man skal indarbejde databeskyttelse som en integreret del af virksomhedens forretningsprocesser, værdikæde og produktlivscyklus – lige fra produktionudvikling til at produktet havner hos slutbrugeren.

Ved udvikling af nye it-løsninger skal man derfor sikre, at systemerne bygges med sikkerhed for øje, og at standardindstillingerne giver den nødvendige sikkerhed.

Man bør også løbende sikkerhedsopdatere eksisterende systemer, blandt andet fordi vi har set flere angreb, der udnytte huller i gamle versioner.

Risikoanalyse og Sikkerhedspolitikker

Firmaet bør løbende justere og opdatere sine risikoanalyser (DPIA’er) og sikkerhedspolitikker og ikke mindst sikre, at medarbejdere er bekendt med disse.

Aftaler

Langt de fleste virksomheder har i dag data liggende hos forskellige partnere (f.eks. medarbejderdata i et HR-system, salgsdata eller CRM-systemer der ligger online).

Det er derfor nødvendigt løbende at sikre, at man har de nødvendige og opdaterede databehandleraftaler underskrevet.

Har man persondata liggende i 3. parts land udenfor EU, skal man sikre, at man har de nødvendige godkendelser for dette.

Rapportering

Sker der brud på sikkerheden og eventuel misbrug af data, skal virksomheden have en klar politik for, hvem der skal underrettes om hvad og hvornår.

Derudover bør virksomhederne som en del af implementeringen af GDPR også sikre, at der er planlagt processer for den fremtidige vedligeholdelse og sikring af personernes data.

IT Branchen udgiver løbende information og vejledninger om persondataforordningen, og henviser i øvrigt til Datatilsynet og deres vejledninger.