Regulation – dokumenteret tillid

Fremtiden for sikkerhed og persondatabeskyttelse byder på mindre dansk lovgivning og mere EU-regulering. Det er godt nyt for brugerne og beskyttelsen af deres data. Men det kommer samtidig til at påføre virksomheder og offentlige institutioner store administrative byrder.


Data og ikke mindst evnen til at beskytte data følger en stringent logik. Jo flere oplysninger private, det offentlige og virksomheder digitaliserer, des større værdi får disse oplysninger.

Denne digitalisering har haft i hvert fald to konsekvenser. For det første har det åbnet en stor flanke for cyberkriminelle, der kan opsnappe og udnytte personfølsomme data. For det andet er morgendagens it-helte naturligvis dem, der kan finde ud af at beskytte data.

God skik holder ikke længere

I Danmark er behandling af personlige oplysninger reguleret i Persondataloven. Hovedreglen er, at personlige oplysninger skal behandles i overensstemmelse med ”god databehandlingsskik”.

“Det er en smule komisk og fortæller meget godt, at vi i Danmark generelt er meget tillidsfulde,” siger jurist i Bluegarden, Susan Sloth. “Vi er både tillidsfulde over for hinanden som mennesker, men vi har også tillid til, at virksomheder eller staten for den sags skyld passer godt på vores data. Det står i kontrast til resten af EU-landene, hvor man har et helt andet forhold til, hvordan man beskytter persondata.”

EU Persondataforordning på vej

Susan Sloth forklarer, at den danske praksis for beskyttelse af persondata om kort tid vil forandre sig brat. Der er nemlig en såkaldt EU Persondataforordning på vej, som på jurasprog “skal sikre beskyttelse af personer i forbindelse med behandling af personoplysninger og fri udveksling af sådanne oplysninger”.

Det betyder kort sagt, at der skal strammes op på sikkerheden, og at EU’s hammer falder hårdt, hvis ikke man kan dokumentere, at man har styr på sikkerheden.

Snowden spøger stadig

EU Persondataforordningen er et spejlbillede på den udvikling, der sker overalt i verden inden for it-sikkerhed. Fra at være et lavinteresseområde er sikkerhed i dag rykket op som det øverste punkt på alles dagsorden.

“Herhjemme begyndte vi for alvor at mærke en stigende interesse for it-sikkerhed, da Edward Snowden trådte frem i 2013 og lækkede oplysninger om NSA’s masseovervågningsprogram,” siger Susan Sloth.

“Jeg begyndte lige pludselig at få opringninger fra vores kunder, som gerne ville vide, hvor deres data egentlig var opbevaret, og hvad vi brugte dem til. Det skete kun meget sjældent tidligere.”

Altid compliant

Bluegarden håndterer på tværs af koncernen i Danmark, Sverige og Norge cpr-, bank-, skatte-, fagforenings- og pensionsoplysninger for ca. 1.2 millioner mennesker. Det sker i fuld overensstemmelse med både nationale og EU-regulativer.

“Bluegarden er og skal altid være compliant i forhold til alle gældende regler og love. Det er simpelthen vores opgave altid at holde os opdateret – og også gerne være et skridt foran. Det vil sige, at vores kunder nyder godt af vores sikkerhedsberedskab og kan garantere samme beredskab i forhold til egne kunder,” siger Susan Sloth.

Krav om DPO

Ét af de punkter i EU’s kommende Persondataforordning er kravet om, at visse virksomheder skal have en såkaldt Data Protection Officer (DPO).

“Definitionen er tidligere blevet lavet om, men lige nu hedder formuleringen, at alle virksomheder, der behandler mere end 5.000 registrerede over en sammenhængende periode på 12 måneder, skal have en DPO,” siger Susan Sloth.

“Det er selvfølgelig ubetinget godt nyt for kunderne, at der kommer et øget fokus på datasikkerhed i Danmark. Men kravet om at have en dataansvarlig vil påføre mange virksomhed store omkostninger til juridisk og teknisk ekspertise. Vores anbefaling er derfor, at man ligeså godt kan begynde at forberede sig på den ændrede virkelighed allerede nu,” slutter hun.

Hovedpunkter EU's Persondataforordning

De væsentligste ændringer i forhold til den gældende persondatalov i Danmark vil være:
  • Det Europæiske Databeskyttelsesråd vil få kompetence til at detailregulere på en lang række områder med betydning for det enkelte medlemsland
  • Der skal udpeges en databeskyttelsesansvarlig (DPO) i alle offentlige myndigheder og større virksomheder
  • Der skal udarbejdes standardiserede informationspolitikker, der blandt andet skal informere om indsamling, behandling og opbevaring af personoplysninger
  • Der skal indføres en sikkerhedspolitik og tilhørende tekniske og organisatoriske sikkerhedsforanstaltninger, der er baseret på en løbende risikovurdering i forhold til formål, art og omfang af persondatabehandlingen
  • Der skal etableres et uafhængigt kontrolmiljø, som kan måle effektiviteten af de trufne og indførte sikkerhedsforanstaltninger for at beskytte persondata
  • Der skal foretages konsekvensanalyse for persondatabehandlingen for hele livscyklusforvaltningen fra indsamling over behandling til sletning af persondata
  • Der er uden unødig forsinkelse oplysnings- og indberetningspligt ved brud på persondatasikkerheden både til tilsynsmyndigheden og de personer, som er berørt heraf
  • Der kan administrativt gives store bøder ved overtrædelse af lovgivningen eller ved konkrete sikkerhedsbrud
Kilde: bdo.dk
Regulation