Er du klar til den nye persondataforordning i 2018?

Skrevet af: Prosys | Administration
09.05.2017

Du har helt sikkert hørt meget om det, den seneste tid. Men hvad er nyt? Og hvad skal man forholde sig til?

Hos Prosys får vi mange spørgsmål til den nye Persondataforordning. Vi har derfor forsøgt at skabe et overblik til vores eget og vores kunders brug. Vi håber, at det også giver dig et bedre overblik.

Forordningen indeholder nemlig en masse nye regler for behandling af persondata.

Grundprincipperne i persondataloven:

  • God databehandlingsskik
    – Databehandlingen skal være rimelig og lovlig
  • Formålsbestemthed
    – Indsamling skal ske til udtrykkeligt angivne og saglige formål. Senere behandling må ikke være uforenelig.
  • Proportionalitet
    – Relevante og tilstrækkelige oplysninger. Ikke mere end nødvendigt.
  • Datakvalitet
    – Ajourføring og kontrol. Sikre sig, at der ikke behandles urigtige eller vildledende oplysninger.
  • Sletning
    – Når man ikke længere har brug for oplysningerne (eller hvis man ikke har et system med tilstrækkelig sikkerhed)

Kilde: Opgraderingen du ikke kommer udenom: Fra persondatalov til GDPR plus “persondataloven, version 2.0” (Oplæg i Øksnehallen den 5. Maj 2017)

Grundprincipperne i forordningen:

Artikel 5, stk. 1

  • Lovlighed, rimelighed og gennemsigtighed
    – Oplysningerne skal behandles lovligt, rimeligt og på en gennemsigtig måde for den registrerede
  • Formålsbegrænsning
    – Oplysningerne skal indsamles til udtrykkeligt angivne saglige formål, og må ikke anvendes til andre formål end de er indsamlet til
  • Dataminimering
    – Der må ikke indsamles mere data end nødvendigt for at opnå formålet
  • Rigtighed
    – Oplysningerne skal være korrekte og ajourførte, og oplysninger, der viser sig at være urigtige eller unøjagtige, skal rettes eller slettes snarest
  • Opbevaringsbegrænsning
    – Oplysningerne må kun opbevares så længe, der er et sagligt formål
  • Integritet og fortrolighed
    – Oplysningerne skal beskyttes mod u-bemyndiget eller ulovlig behandling, ødelæggelse og beskadigelse

Artikel 5, stk. 2

  • Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (”ansvarlighed”)

Kilde: Opgraderingen du ikke kommer udenom: Fra persondatalov til GDPR plus “persondataloven, version 2.0” (Oplæg i Øksnehallen den 5. Maj 2017)

Sikkerhedskrav:

Med den nye persondataforordning vil virksomhederne opleve strammere krav og større konsekvenser, hvis ikke, at de lever op til kravene. 

Persondataloven indeholder en masse sikkerhedskrav, som den ansvarlige for personoplysninger skal sørge for at indrette virksomheden efter. Herunder bl.a. at personoplysninger skal være teknisk og organisatorisk sikrede. Hermed skal der være nogle klare retningslinjer om, hvem der har adgang til hvilke personoplysninger, og hvordan de skal håndteres mm.

Loven indeholder endvidere krav om hjemmel ved behandling af personoplysninger, der eksempelvis kan betyde, at skulle indhente samtykke, der kan være nødvendigt for at opfylde en aftale mv.

Et godt sted at starte, er de 12 minimumskrav, som loven stiller:

  1. Dokumentation: Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt. 2-12.
  2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt.
  3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne.
  4. Personaleoplysninger på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i brug.
    Når dokumenter (papirer, kartotekskort mv.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne.
  5. Adgangskode: Der skal anvendes adgangskode for at få adgang til pc’er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.
  6. Forsøg på adgang skal logges. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg.
  7. Lagring på USB: Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier.
  8. Beskyttelse af PC’er: PC’er koblet til internettet skal have en opdateret firewall og viruskontrol installeret.
  9. Kryptering af formularer: Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering.
  10.  Kryptering af e-mails: Hvis følsomme personaleoplysninger og personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering.
  11. Reparation/service af it-udstyr: I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab.
  12. Eksterne databehandlere: Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens § 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet.

Kilde: https://www.datatilsynet.dk/erhverv/personaleadministration/krav-om-datasikkerhed-i-forbindelse-med-personaleadministration/

Hvad er nyt i forordningen?

  • Dokumentationskrav, bl.a. fortegnelse over behandlingsaktiviteter
    – Hvilke typer data behandles?
    – Formål med behandling
    – Angivelse af tidsfrist for sletning af oplysninger
    – mm.
  • Risikovurdering og konsekvensanalyse
    – I tilfælde af, at behandling af personoplysninger indebærer høje risici for registrerede rettigheder og friheder

Endvidere skal myndighederne nu i gang med identificere kritiske databehandlinger og herefter beskrive, hvilke foranstaltninger der træffes for at mindske sikkerhedsbrister ved behandlingerne.

  • Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
    – Databeskyttelse skal allerede være den første tanke ved udviklingen af nye IT-løsninger mm.
  • Databeskyttelsesrådgivere (DPO’er) hos myndighederne og visse private
    – Det bliver obligatorisk at vælge en ansvarlig for databeskyttelsen. DPO’eren skal have en særlig viden omkring persondatabeskyttelse og sikre, at forordningen lever op til kravene og bliver overholdt.
  • Skrappe sanktioner
    – Overtrædelse af forordningen medfører en bøde på op til EUR 20.000.000 eller 4 % af virksomhedens årlig omsætning

Kilde: Opgraderingen du ikke kommer udenom: Fra persondatalov til GDPR plus “persondataloven, version 2.0” (Oplæg i Øksnehallen den 5. Maj 2017)

Hvornår træder den nye forordning i kraft?

Den træder i kraft den 25. Maj 2018.

Videnspiloten bag indlægget

Dejvid Vidojevic

Ekspert i IT-løsninger hos Prosys

www.prosys.dk

Dejvid Vidojević har en solid baggrund inden for online løsninger. Han har arbejdet som konsulent og key account manager hos regnskabssystemet e-conomic og senere hos Billy. Som en del af Prosys har han fortsat karrieren inden for cloudbaserede løsninger og rådgiver i dag mindre og mellemstore virksomheder omkring valg af løsninger inden for hosting, datasikkerhed mv.

Videnspiloten bag indlægget

Dejvid Vidojevic

Ekspert i IT-løsninger hos Prosys

www.prosys.dk

Dejvid Vidojević har en solid baggrund inden for online løsninger. Han har arbejdet som konsulent og key account manager hos regnskabssystemet e-conomic og senere hos Billy. Som en del af Prosys har han fortsat karrieren inden for cloudbaserede løsninger og rådgiver i dag mindre og mellemstore virksomheder omkring valg af løsninger inden for hosting, datasikkerhed mv.

Vil du høre mere om persondataordningen i 2018?

Du er altid velkommen til at kontakte Prosys direkte eller lære dem bedre at kende på deres Videnspilot-profil

Få Kontakt
Se Profil
2017-06-02T15:43:10+00:00