Advokat om ny persondatalov: Hammeren falder prompte, hvis Datatilsynet først læser om datalæk i medierne

Hvis et datalæk bliver afsløret af et medie, uden at Datatilsynet er adviseret først, så er man automatisk helt oppe i toppen af bødeskalaen, lyder advarslen fra it-advokat.

EU's nye persondataforordning, som træder i kraft i maj 2018, betyder, at virksomheder skal gøre deres forarbejde, når det gælder om at risikovurdere og beskytte de systemer, som behandler persondata.

Advokat med speciale i it-ret, Kim G. Hansen.

Det bliver med andre ord nødvendigt at forholde sig til alle de steder, hvor persondata bliver bearbejdet, og ikke mindst at dokumentere, at man har forholdt sig til det.

Det er formodentlig den mest betydende ændring, der kommer med forordningen, lyder det fra en advokat med speciale i it-ret i en nyhed fra TDC Hosting.

»Du bliver ramt af et krav om dokumentation af enhver databehandling. Det vil sige, at du skal have en plan, der beskriver, hvordan du behandler forskellige typer af data, og hvem der har adgang til at behandle dem. Og hvis nogen ændrer i de data, så skal du have en log, der viser, hvad der skete. For det skal du kunne præsentere for Datatilsynet, og hvis du ikke kan det, kan du faktisk få en bøde, selvom der ikke er sket noget,« fortæller advokat Kim G. Hansen, der er specialist i IT-ret og partner i advokatfirmaet Integra, til TDC.

Dokumentationskravene betyder også, at man som virksomhed skal begynde at risikovurdere alle de systemer, hvor der arbejdes med persondata.

Det vil sige, at man skal forholde sig aktivt til den konsekvens, det kan have for de berørte, hvis data bliver lækket.

»Risikovurdering er noget, alle skal lave, og det handler om at vurdere: Hvad sker der, hvis de data, jeg behandler, kommer ud? Noget kan populært sagt klares på bagsiden af en serviet, og andet kræver en større manual, før det er dokumenteret tilstrækkeligt. Det er en del af det arbejde, du skal have lavet,« fortæller Kim G. Hansen.

En IP-adresse er også persondata

Mange plejer at kalde det personfølsomme oplysninger eller følsomme data, men EU-persondataforordningen kalder det slet og ret persondata.

For det handler ikke kun om kreditkort- eller helbredsoplysninger, definitionen er meget bredere.

»Persondata er alle de data overhovedet, der på noget tidspunkt gør, at man kan identificere en person. Grunden til, at det er så bredt defineret, er, at de mange oplysninger tilsammen kan lave en profil på en person. Det er derfor, at sådan noget som en IP-adresse også er en personoplysning, hvis det på noget tidspunkt gør, at man kan koble den sammen med mig,« forklarer Kim G. Hansen.

Den definition betyder, at man ikke kan nøjes med at se isoleret på persondata i ét system, de skal ses i sammenhæng med de andre steder, hvor data behandles.

Ifølge forordningen betyder behandling af data enhver ting, man overhovedet kan gøre med data: indsamling, videregivelse og bearbejdning - alt.

Alene det at give nogen adgang til persondata konstituerer behandling. Desuden skal du løbende vurdere, hvornår de data, du behandler, ikke længere er relevante, og slette dem.

»Du må ikke beholde data, når du ikke har brug for dem mere. Og du må ikke behandle data, der ikke er nødvendige. Så du må ikke spørge en kunde om data, som ikke er nødvendige. Hvis Google Maps spurgte om dit CPR-nummer, for at du kan bruge tjenesten, så ville det være ulovligt. Det vil sige, at du hele tiden skal spørge dig selv: Er det nødvendigt, jeg behandler de her data, og har jeg det nødvendige samtykke fra ejeren?« siger Kim G. Hansen.

Pligt til indberetning af læk

Selvom du har lavet de rigtige analyser og forberedt dine systemer godt, kan du alligevel komme ud for at blive hacket og miste persondata.

Hvis det sker, skal du selv fortælle tilsynsmyndigheden, hvad der er sket. I Danmark er det Datatilsynet, og de skal have besked om et læk senest 72 timer efter, at du har fundet ud af, at det er sket.

»Hvis datatilsynet læser i Ekstra Bladet, at der er sket et datalæk hos dig, så kører vi helt op i toppen af bødeskalaen med det samme. Og hvis de mistede data har stor betydning for ejeren, så kan du blive tvunget til at fortælle, at du har mistet deres oplysninger. I min verden må det være noget af det værste, man kan komme ud for. Man risikerer da i hvert fald at miste en kunde, hvis sådan noget sker,« siger advokat Kim G. Hansen.

Det bliver nødvendigt at kunne bevise, at du har taget de nødvendige skridt i forhold til at kortlægge datastrømme, kryptere data og begrænse adgange, når det gælder persondata.

For det er ikke nok bare at sige til Datatilsynet, at du har mistet data.

»Det går ikke. Du skal kunne sige, hvad der er sket, og hvilke konsekvenser det har haft. Hvad har du gjort for at afhjælpe det og så videre. Og hvis du ikke gør det inden for de 72 timer, har du et kæmpe forklaringsproblem,« vurderer Kim G. Hansen.

Afhængigt af, hvor alvorlig situationen er, kan du blive pålagt at betale en bøde, der modsvarer 4 procent af hele koncernens årlige omsætning.

Bødens størrelse kommer an på den dokumentation, du kan lægge frem, og de forberedelser, du har gjort. Jo bedre du kan dokumentere dine forberedelser, des bedre stillet er du i forhold til bøder og sanktioner.

Jo større konsekvens, des større beskyttelse

Forordningens motiv er at få dig til at tænke mere aktivt over den måde, du arbejder med persondata på, og hvordan du beskytter dem.

Den vil betyde, at dataejere danner sig et billede af, hvor man skal gøre en særlig indsats for at passe på persondata. Og hvis man gennemfører analysearbejdet, er man også bedre stillet over for de bøder og sanktioner, som forordningen bringer.

»Jo større skaden ved et læk kan være, des mere skal man gøre for at beskytte sig. Hvis skaden ikke er stor, behøver man ikke gøre så meget. Men hvis du ikke kan lægge papirerne frem som bevis, så kan du alene af den grund - uanset om der er sket noget eller ej - få en bøde,« forklarer Kim G. Hansen.

Den nye EU Persondataforordning træder officielt i kraft den 25. maj 2018.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (11)

Kommentarer (11)
Claus Juul

Risikovurdering er noget alle skal lave, og det handler om at vurdere: Hvad sker der, hvis de data, jeg behandler, kommer ud?

Jeg ville også kigge på hvor/hvordan data kan mistes, for så er det muligt at forholde sig til foranstaltninger der kan reducere risikoen eller opdage det, hvis det skulle ske.

Palle Madsen

Hvis det tolkes helt der ud at ip adresser og mailadresser er personoplysninger så vil det jo sige at ALLE som bruger et almindeligt mailprogram er i besiddelse af personoplysninger - og sender personoplysninger ukrypteret (eller svagt krypteret) frem og tilbage i en uendelighed hele tiden. En almindelig mail indeholder jo typisk både navn, mailadresse, en eller flere ip adresser + evt navne på computere (klient og/eller servere).
Hvordan sikrer man sig at man ikke "mister" den slags oplysninger ?

Det lyder ca lige så gennemtænkt som cookie-direktivet.

Palle Madsen

De fleste virksomheder har ansat mennesker.
Og de fleste virksomheder bruger email.
Så har jeg vist ikke overdrevet :-)

Det bliver vist brug for at få formuleret nogle helt nye ansvarsfraskrivnings-klausuler i IT branchen inden så længe.

Jens Rahbek

Prøv at finde reglerne for e-boks. Jeg kan ikke finde dem, og sidste gang jeg søgte - og kontaktede e-boks - fik jeg svaret, at ansvaret er overladt til underleverandøren.

Tænk lige over den. Jeg vil meget gerne have en kommentar fra e-boks.

Kevin Johansen

En IP-adresse ER en personhenførbar oplysning; dette har Datatilsynet for lang tid siden afgjort, med den begrundelse, at du med en IP adresse og adgang til et teleselskabs data kan afgøre hvem der har haft IP-adressen. Det er er dog IKKE en følsom personoplysning (som f.eks. din patientjournal).

Generelt skal man huske at vores persondatalov arbejder IKKE med begrebet anonym, men derimod personhenførbar.
Stort set alle former for data ER personhenførbare, idet man ved "inference attacks" kan udlede identiteten (dvs. adgang til tertiære data og derfra enten ved opslag eller sandsynlighed).

Den ret væsentlige forskel mellem personhenførbar og anonym glemmes ofte af både politikere, medier og udenlandske virksomheder (som regel fordi mange andre landes lovgivning omhandler anonymitet og ikke personhenførbarhed). Netop denne forskel gør, at jeg stadig mener vi har en af de bedste og mest fremtidssikrede persondatalovgivninger i verden. Hvis man altså lige ser bort fra, at det "offentlige" Danmark er undtaget stort set hver eneste bestemmelse i loven :)

Kristian Christensen

Hov hov. Det kan man ikke. Hvis du sidder med et ansvar kan du uddele pligten til at overholde reglerne til andre men ansvaret er stadig dit.
Så hvis e-boks sender aben videre til andre så ville jeg se at få på skrift at de ikke selv mener de har ansvaret for e-boks sikkerhed selv og så kontakte ekstrabladet.

Bo Andersen

Well, man kan ikke afskrive sig sit ansvar som dataansvarlig, uanset hvem der behandler ens data, transporterer- eller lagrer dem.

Så ud over at Datatilsynet får travlt, så er der også mange uduelige ledere der forhåbentlig får r*ven på slibestenen - for i sidste ende er databehandling et ledelsesansvar, men gud ved hvor mange der ikke bekvemt skubber den ud til IT afdelingen ?

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017