EU Persondataforordning

EU’s Persondataforordning (EU GDPR) træder i kraft den 25. maj 2018. Forordningen vil få store konsekvenser for alle organisationer uanset størrelse og branche. Virksomhederne skal gøre sig konsekvenserne af de nye regler helt klar. Der er mange som voldsomt undervurderer omfanget af opgaven – i forhold til de mange nødvendige tekniske og organisatoriske tilpasninger.

De nye krav

De nye krav betyder, at virksomhederne i bund og grund bliver nødt til at revurdere og omstrukturere den måde, hvorpå de opsamler og håndterer alle former for personoplysninger. Meningen er, at EU borgernes rettigheder i langt højere grad skal sikres. Nye krav til organisationer og virksomheder:

  • Organisationer skal have overblik og kontrol over dataflowet.
  • Organisationen skal kunne svare på spørgsmål som, hvilke persondata gemmes hvor, hvordan og hvor længe?
  • Organisationen skal kunne opdage, rapportere og undersøge brud på persondatasikkerheden. Sikkerhedshændelser skal i visse tilfælde rapporteres til myndighederne og alle berørte inden for 72 timer.
  • Offentlige myndigheder og visse private virksomheder skal udpege en databeskytelsesrådgiver med fokus på at efterleve forordningen.
  • Organisationen skal kunne dokumentere overholdelse af forordningen ved hjælp af interne procedurer og politikker.
  • Der skal foretages en risikovurdering før databehandlinger, som sandsynligvis indebærer en stor risiko for de registrerede. Det kan eksempelvis være i forbindelse med brugen af ny teknologi eller forud for behandling af store mængder af personfølsomme data.

Lovgivningen gælder for alle organisationer, virksomheder og myndigheder lige meget, hvilket land de ligger i, så længe de opbevarer data på EU borgere.
 

Konsekvenser

Virksomheder og organisationer kan idømmes bøder fra 20 millioner euro og helt op til 4 % af den samlede globale koncernomsætning, hvis ikke de overholder den nye forordning.

Behandlingssikkerhed

Forordningen får især konsekvenser for virksomhedens informationssikkerhed. Det er virksomhedens ansvar, at sikkerhedsniveauet afspejler risikoen for, at persondata stjæles, mistes, skades eller behandles ulovligt.

Forordningen opererer med såkaldt ”omvendt bevisbyrde”. Det er virksomheden som skal kunne bevise, at behandlingen af personoplysninger er ”betryggende”, og at virksomheden har et ”passende” niveau af sikkerhed. Et sådant bevis kræver imidlertid, at man kan dokumentere dette i form af risikovurderinger, politikker, procedurer, kontroller, journaler som påviser kontinuerlig opfølgning mm.

Det vil betyde, at den tekniske sikkerhed vil skulle endevendes i stort set alle virksomhedens it-systemer som netværk, pc’er, servere, applikationer etc. Og skulle undersøgelserne vise, at sikkerheden ikke er tilstrækkelig i et eller flere af it-systemerne, vil problemerne efterfølgende skulle udbedres – enten ved at foretage tekniske eller organisatoriske ændringer, eller at erstatte gamle, usikre systemer med nye systemer, som har den nødvendige sikkerhed indbygget fra starten.

Pax GDPR Risikovurdering

For at opretholde sikkerheden og mindske risikoen for, at persondata bliver behandlet i strid med forordningen skal virksomheden gennemføre en risikovurdering. Risikovurderingen skal belyse konsekvenserne for de registrerede.

En risikovurdering vil:

  • Identificere de persondata som virksomheden håndterer
  • Vurdere de interne sårbarheder i it-systemer, programmer og software, der bruges til at håndtere og lagre persondata
  • Kortlægge eksterne trusler og hændelsesscenarier, der kan resultere i brud på persondatasikkerheden, og som kan gøre virksomheden ansvarlig ifølge EU GDPR.
  • Konsekvenserne for de registrerede ved brud på persondatasikkerheden
  • Konsekvenserne for forretningen ifm. afbrydelse af forretningsprocesser og eventuel bøde fra EU kan også belyses i risikovurderingen
  • Vurdere og rangere virksomhedens risici for brud på persondatasikkerheden og derudover skitsere løsningsforslag til, hvordan I styrker sikkerheden inden for det persondataretlige område.

ISO 27 0001-certificering

Det er vigtigt at kunne påvise efterlevelse af standarden og internationale certificeringer som ISO/IEC 27 001 er en god måde at gøre dette på. Certificeringen viser at informationssikkerhed er forankret i organisationen: udformning af sikkerhedspolitikker, dokumentation af sikkerhedsarbejdet, risikovurderinger mm. SecuriPax hjælper virksomheder med at efterleve ISO27001 standarden. Læs mere om ISO 27001 efterlevelse ned på siden.

Få hjælp nu

Kompleksiteten i den nye EU forordning, de store konsekvenser ved manglende overholdelse og den snarlige deadline betyder, at EU GDPR udgør en stor risici for mange virksomheder. 

Med baggrund i risikovurderingen skitserer vi forskellige løsninger til, hvordan sikkerheden kan øges. Og vi hjælper virksomheden med at dokumentere overholdelse af forordningen ved udarbejdelse af eksempelvis politikker og interne procedure.
 

Bliv klar til GDPR

Kontakt os