Selvom kalenderviseren for længst har passeret 25. maj, kan der stadigvæk opstå misforståelser og myter. Her forsøger vi at afklare tre myter om GDPR.
Det kan være en omstændig opgave at skulle leve op til lovgivningen i databeskyttelsesforordningen. Det er blandt de mest omfangsrige regelsæt, virksomheder er blevet pålagt.
Med en tonstung lovgivning der skal efterleves og med forsinkede vejledninger, kan der også nemt opstå en del forvirring og mytedannelse omkring efterlevelse. For hvad er egentlig op og ned?
Derfor har vi bedt vores advokat i Dansk Erhverv, Martin Jørgensen, der de seneste år har kørt rundt i Danmark for at hjælpe medlemsvirksomheder med at blive klar til GDPR, om at skære igennem og afklare tre myter om GDPR.
1. Man skal helt undgå at bruge fysiske dokumenter med persondata. Gør man det alligevel, skal de opbevares i et pengeskab
Det er tilladt at bruge fysiske dokumenter med persondata, men ligesom med digitale data, kræves det, at man tager de passende sikkerhedsforanstaltninger og sørger for, at der er klare retningslinjer for, hvem der håndterer det data og hvem der har adgang til dem.
Man skal i det hele taget være sit ansvar bevidst og bruge sin sunde fornuft, ligegyldigt om data er digitalt eller fysisk.
Det betyder også, at man skal kunne skille sig sikkert af med data der ikke længere bruges, og at man skal transportere fysiske dokumenter med persondata forsvarligt.
Fysiske dokumenter kan ikke hackes, det er dog alligevel nødvendigt at sikre, at fysiske dokumenter med personfølsomme data der ikke er i brug, bliver opbevaret sikret fx i aflåselige skabe.
Der er dog ikke krav om, at virksomhederne skal lægge alle fysiske dokumenter i pengeskabe eller at der ikke må bruges papir.
2. Man behøver ikke at kryptere mails
Private virksomheder kan lige nu selv vælge, om de vil kryptere e-mails, der indeholder personoplysninger.
Datatilsynet har siden 2008 anbefalet, at e-mails der indeholder følsomme personoplysninger eller fortrolige personoplysninger, sendes krypteret.
Fra 1. januar 2019 strammer Datatilsynet dog op omkring dette, idet det fra denne dato går fra en anbefaling til et krav. Danske virksomheder har altså lidt under et halvt år til at efterleve det nye krav.
Datatilsynet henviser også til lovgivningens artikel 32 om behandlingssikkerhed og siger, at det er op til den dataansvarlige, at sørge for den passende sikkerhed.
IT-sikkerhedsekspert og jurist hos Datatilsynet har i Version2 fortalt lidt mere detaljeret om kravene til kryptering.
3. Alt er godt, så længe man bare har en databehandleraftale
Det er ikke nok bare at indgå databehandleraftaler – der skal også følges op på databehandleren og evt. underdatabehandlere for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med det aftalte, samt at sikkerhedsforanstaltninger er som beskrevet.
Typisk vil det fremgå af databehandleraftale, at databehandler skal indsende erklæring til dataansvarlig om, at reglerne bliver overholdt.
Du kan læse mere på Datatilsynets vejledning til tilsyn med databehandlere og underdatabehandlere.
Har du andre myter om GDPR, der skal afmystificeres, eller yderligere spørgsmål omkring efterlevelse af Persondataforordningen, kan du som medlem af IT-Branchen til en hver tid gratis kontakte Dansk Erhvervs Hotline på telefon 33 74 64 00 eller på hotline@danskerhverv.dk
Hvis du vil vide mere
Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.
Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.