Annonce
Annonce

Har du tjek på de vigtigste begreber i den nye Persondataforordning?

billede
Læs mere
Fold sammen

Persondataforordningen introducerer en række nye begreber omkring beskyttelsen af data, som det er værd at sætte sig ind i. Få overblik over de vigtigste.

Fra den 25. maj 2018 gælder nye skærpede krav til behandling af data, når EUs Persondataforordning træder i kraft. Dermed for borgere og forbrugere både nye rettigheder og markante understregninger af eksisterende – og blandt andre virksomheder risikerer markante bødestraffe, hvis forholdene for datahåndteringen ikke er i orden.

De nye regler gælder – med få undtagelser – alle, der indsamler og bruger personlige oplysninger, og den bringer en række nye begreber i spil, som det er vigtigt at kende. Det forklarer formand for Rådet for Digital Sikkerhed, Rasmus Theede – der som udgangspunkt glæder sig over, at det er lykkedes EU at blive enige.

“For os er det her jo meget kærkomment, og forordningen er en god anledning til at få styr på et område, hvor den nuværende lovgivning – persondataloven – senest er opdateret i 2001. Nu får vi noget, der rent faktisk tager højde for den måde verden ser ud på i dag og den måde vi arbejder på,” siger han.

Samtidigt understreger han også, at der for alle, der arbejder med persondata, er god grund til hurtigt at sætte sig ind i forordningen. Ikke mindst fordi, der er udsigt til yderst markante bøder, hvis persondatasikkerheden ikke er i orden.

”Dybest set handler forberedelsen til forordningen om at klarlægge hvilke personfølsomme data man har, og hvordan man behandler dem og hvem der har adgang til dem, hvilket også er en markant del af ordlyden i forordningen form af kravet om såkaldte Privacy Impact Assesments. Udfordringen er, at mange selv store virksomheder ikke har katagoriseret deres data og mangler en række overvejelser på det her område,” siger Rasmus Theede.

Indbygget privatliv
Grundlæggende kan man sige, om den nye forordning, at retten til privatliv nu bliver udgangspunktet for alle dataindsamlere. Konkret udtrykt med begreberne ”Privcacy by default” og ”Privacy by design”, der betyder, at it-systemer og processer skal have tænkt sikkerhed og beskyttelse ind fra bunden.
”I dag skal man som bruger ofte gå ind og vælge aktivt, at man vil beskytte sine oplysninger – I privacy by design er det grundindstillingen, og det får selvfølgelig betydning for virksomheder, der måske i dag spekulerer i, at brugeren ikke interesserer sig for, hvad der sker med vedkommendes data,” siger Rasmus Theede.

Samtidigt fremhæver han, ”retten til at blive glemt” som et element i forordningen, der for stor indflydelse. Som ordene antyder, betyder det, at man som bruger fremover har krav på, dels at få oplyst præcis, hvad en virksomhed ved om dig – og ikke mindst krav på, at kunne tage disse data med videre eller ganske enkelt få dem slettet. Vel at mærke på en måde, så virksomheden dokumenterer, at sletningen er foretaget.

”Det er et af de elementer, det kan bliver interessant at følge implementeringen af”,  siger Rasmus Theede og fortsætter.

”Det er en god tanke, men den kan være ret svær at føre ud i virkeligheden. Altså, jeg kan stadig finde dumme spørgsmål, jeg har stillet i internetfora, da jeg begyndte at studere for 17 år siden, og vi kommer nok ikke til at gøre op med tanken om, at ”internettet glemmer aldrig.” Det ændrer dog ikke på dokumentationskravet til virksomhederne.

Vigtig analyse
Det fører frem til et af de mest omtalte elementer i den nye forordning. Nemlig indførelsen af en såkaldt ”Data Protection Officer” – eller ”databeskyttelsesrådgiver” – forkortet DPO. Det er en funktion som alle virksomheder og myndigheder skal have, hvis deres kerneaktiviteter omfatter behandling af persondata, der medfører regelmæssig og systematisk overvågning af registrerede.

”Det er en uafhængig person, der blandt andet overvåger overholdelsen af de nye regler, og det kan både være en medarbejder eller en ekstern person,” forklarer Rasmus Theede og råder til, at alle, der på den ene eller anden måde arbejder med persondata hurtigst muligt sætter sig ind i, hvordan forordningen har betydning for deres arbejde.

Samme råd lyder fra erhvervsorganisationen Dansk Erhverv, hvor erhvervsjuridisk fagchef Svend Petersen bruger en stor del af sin tid på netop at rådgive medlemsvirksomhederne om den nye virkelighed.

”Det her er en forordning, der giver en række omkostninger, det kan ikke undgås. Men det er også mit indtryk, at man tager det som en anledning til at rydde op og skabe overblik,” siger han og understreger.
”Og det er faktisk også det gode råd. Få lavet en analyse, find ud af, hvad man egentlig har liggende og om man har hjemmel til at behandle de her ­oplysninger, som man gør,” siger Svend Petersen.