Brud på nye datakrav kan koste virksomheder dyrt

Illustration: leowolfert/Bigstock
Op til 4 pct. af omsætningen eller 20 millioner euro i bøde for tilsidesættelse af persondatabeskyttelsen er, hvad virksomheder i EU kan se frem til med ny lov om borgernes digitale beskyttelse.

Der er klækkelige bøder til virksomheder, der ikke har styr på borgernes/kundernes personlige oplysninger, hvis det står til ny persondataforordning, der nu er formelt vedtaget i EU-systemet, og som træder i kraft i 2018.

Overordnet er formålet med forordningen at giver borgerne/brugerne bedre digital beskyttelse mod misbrug eller overdreven brug af personlige oplysninger til formål, der ligger uden for det rum, man har givet samtykke i.

Desuden skal forordningen gøre det lettere for virksomhederne til at manøvrere i det digitale rum, da der fremover kun vil være ét sæt regler gældende for hele EU.

EU-Kommissionen forestiller sig, at det vil bane vej for nye digitale markedspladser, hvor små og mellemstore virksomheder under en samlet hat af beskyttelse af brugernes/kundernes oplysninger kan skabe tryghed misbrug af de personlige oplysninger.

»Den gode nyhed er, at forordningen har en risiko-baseret tilgang. Frem for rigide krav og ‘one size fits all’ er der nu direkte lagt op til, at virksomhedernes indsats skal være proportional med risikoen for, at data behandles ulovligt. På den anden side bliver det så de dataansvarliges opgave at sørge for, at denne proportionalitet er til stede, og at de etablerede foranstaltninger rent faktisk virker i praksis,« siger advokat og ekspert i persondatalovgivningen Michael Hopp fra advokatfirmaet Plesner.

Samtykke-jungle truer app-udviklingen

Grundlæggende stiller forordningen store krav til virksomhedernes eller organisationernes datasikkerhed, og som en del af forordningen lægger Kommissionen op til et krav om utvetydigt samtykke.

I dag klikker vi bevidstløst ja til cookies uden at ænse konsekvenserne, eller hvad den tilhørende erklæring dækker over.

Med den nye forordning er kravet, at virksomhederne og organisationerne skal være helt sikre på, at der er tale om et informeret og indforstået samtykke om opsamlingen og anvendelsen af de personlige oplysninger.

Hvordan en sådan sikkerhed skal garanteres eller opnås, har EU-Kommissionen ikke anvist, og det kan, hvis det føres ud i livet, sætte brugervenligheden ved betjening af it-systemer årtier tilbage.

En anden udvej er selvfølgelig, at virksomheder og organisationerne stopper med at indsamle brugernes oplysninger, hvilket igen vil føre til en dårligere brugeroplevelser, da simple oplysninger om adresse, sprog, sidst besøgte side, foretrukne oplysninger m.m. skal indtastes igen og
igen.

De nye regler forventes at betyde øgede udviklingsomkostninger for it-firmaer og virksomheder til udvikling af nye accept-rutiner og administration af disse, og der er tilmed forslag om, at samtykket er tidsbegrænset, så brugeren med mellemrum skal gentage sin accept.

Et andet uklart forhold er den situation, hvor flere anvender samme maskine. Her kan det være, at det kun er den første bruger, der giver – eller ikke giver – sit samtykke til persondataanvendelsen uden hensyntagen til andre brugere på samme maskine, der måtte have andre præferencer.

Dataofficer skal sikre digital identitet

En nyskabelser i forordningen er kravet om, at der udpeges en databeskyttelsesansvarlig (DPO) i de virksomheder, der håndterer store mængder kunde- eller borgerdata. Alle offentlige virksomheder skal have en DPO.

DPO’en kan være ansat i virksomheden eller være ekstern konsulent. Afgørende er, at DPO’en skal kunne virke uafhængigt af virksomhedens interesser og skal referere både til virksomhedens topledelse og desuden være kontaktperson for kunder og samarbejdspartnere samt Datatilsynet.

Det vil også være op til DPO’en at holde styr på, om virksomheden lever op til bestemmelserne om persondatabeskyttelse og sikre, at de ansatte, der er i berøring med disse, er uddannet i håndteringen.

Kommissionen arbejder også med begrebet ’privacy by design’, der betyder, at persondatabeskyttelsen skal være fundamentalt indbygget i systemernes arkitektur og design. Et lignende begreb er ‘privacy by default’, der betyder, at persondata kun må opbevares, så længe det
er relevant for anvendelsen.

Det vil sige, at it-systemer ikke blot kan akkumulere personoplysninger til fremtidig brug, men skal destruere disse, når det, de er indsamlet til, er overstået.

Overholdelsen af de grundlæggende privacy-regler kan vise sig at blive overordentligt dyre for mindre ogmellemstore virksomheder, der kan blive bedt om at dokumentere, hvordan privacy-reglerne er overholdt gennem hele systemudviklingen. Kravene kan blive kompliceret af den hyppige brug af underleverandører til at håndtere både data og dele af systemudviklingen.

Virksomheder kan dog også se en mulighed i at leve op til nye krav og gennem en certificering fra EU kunne vise forbrugerne, at der er styr på det med persondata, og at brugernes data er i trygge hænder.

»Den nye forordning er ikke kun en udfordring for it-afdelingen, men for hele organisationen. Alle processer, der handler om at indsamle og anvende oplysninger om brugere eller kunder, skal analyseres i forhold til, om processerne lever op til de stillede krav. Desuden
skal systemerne gennemgås, så de lever op til kravene om databeskyttelse som udgangspunkt for opbygningen og implementeringen. Og måske vigtigst af alt, så skal lovligheden af behandlingen af persondata kunne dokumenteres,« påpeger Michael Hopp.

Meldepligt inden for 24 timer

Sker der et brud på datasikkerheden, skal den registeransvarlige melde dette til Datatilsynet så hurtigt som muligt og inden for 24 timer. Sker det ikke inden for dette tidsrum, skal den dataansvarlige redegøre for forsinkelsen over for Datatilsynet.

I tilfælde, hvor bruddet på datasikkerheden kan medføre identitetstyveri, bedrageri, fysisk skade eller skade af omdømme for de fysiske personer, bør disse personer også underrettes om bruddet på databeskyttelsen.

Et andet fordyrende element for virksomhederne er kravet om at kunne blive glemt. Formålet med bestemmelsen er at give brugeren råderet over sine egne oplysninger og disses anvendelse. Med bestemmelsen kan en person kræve, at de opbevarede oplysninger fjernes eller
blokeres, så de ikke kan anvendes eller findes frem.

En person kan også kræve, at oplysninger bliver rettet. Formålet med bestemmelsen er at give brugerne større tryghed ved at give samtykke til anvendelse af persondataoplysninger, da de er sikret, at oplysningerne kan slettes eller forhindres i at blive anvendt.

»For mange virksomheder vil det i første omgang formentlig handle om at få overblik over, hvilke data virksomheden egentlig behandler, og hvad disse data bruges til. Først når dette overblik er til stede, kan man begynde at forholde sig til det reelle risikobillede og derefter planlægge og implementere processer og kontrolforanstaltninger, der imødegår risikoen for, at man overtræder forordningen,« lyder det umiddelbare råd fra advokaten.

Michael Hopp peger desuden på udfordringen med, at brugerne har ret til at se, hvad der er registreret om den enkelte:

»It-afdelingen kan allerede nu forberede systemerne til at kunne håndtere, hvordan de registrerede kan se, hvad systemerne har registreret. I mange virksomheder vil oplysningerne om den enkelte være spredt i flere systemer og måske ganske komplekse at udtrække.«

Denne artiklen er et uddrag af en artikel, som bragt i online-magasinet Version2 Insigt Infosecurity om it-sikkerhed. Du kan downloade det gratis online-magasin fra dette link.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

God artikel, men fraværet af hvilke konsekvenser, herunder sanktioner forordningen får for de offentlige myndigheder og institutioner, begrænser indlæggets værdi. Foreslår, at Michael Hopp og Version2 afser lige så meget tid og spalteplads til også at beskrive forordningens relevans og betydning for de offentlige myndigheder, bl.a. politiet og efterretningstjenesterne og alle andre offentlige sektorer.
Stats-og rigsrevisorerne har i mange aktuelle og gentagne rapporter påvist at det især er de offentlige myndigheder, der har milliader af personlige oplysninger og metadata samlet på hele befolkningen, der er de værste syndere, og dårligste til at beskytte personfølsomme og tvangsoplagrede oplysninger i deres varetægt.

  • 5
  • 1
Dave Pencroof

Sorry ! Hr. Torben Simonsen er der virkeligt intet kilde materiale til denne artikel "links please"?

Hvis der er hold i denne artikel, ser fremtiden en anelse lysere ud !

Jeg kan dog tydeligt se flere konflikter f.eks. marketings virksomheders hensynsløse misbrug af ALT hvad de kan få deres fingre i, ud fra et umætteligt behov om at skulle være "target specific" !
Hele dette show vil hvis det implementeres "ens for alle" uværligt ramme netop dem og deres "hellige" reklamer dvs. MONEY MONEY MONEY !!!

"Et andet fordyrende element for virksomhederne er kravet om at kunne blive glemt. Formålet med bestemmelsen er at give brugeren råderet over sine egne oplysninger og disses anvendelse. Med bestemmelsen kan en person kræve, at de opbevarede oplysninger fjernes eller blokeres, så de ikke kan anvendes eller findes frem"
Her ser jeg en klar konflikt ift. banker/paypal og lignende, og disses udmeldinger om at de iflg. netop EU's regler SKAL gemme betalingskort oplysninger samt relaterede oplysninger i 7 år

Er der i denne sammenhæng også kikket på nonEU landes mis/brug af EU borgeres data samt evt. muligheden for at sikre at disse følger gældende regler inkl. bøder, med andre ord "hvis i vil handle med EU borgere SKAL i følge EU regler i alle sammenhænge"

  • 0
  • 0
Dave Pencroof

Øhhh ! Er loven ikke lige for alle eller er jeg tabt bag vognen ?

Jeg er helt klar over at alle store som små altid kravler over hvor gærdet er lavest, det er indbygget menneskelig dovenskab som vi mennesker videreføre på vores arb.plads !
Men skal også staterne ind i nutiden, så skal også det offentlige opleve at der er konsekvens når man bryder reglerne, det er på ingen måde ok at dele af virkeligheden altid slipper uden om hvad som helst, og ofte uden begrundelse, eller "sådan er det bare" eller "sagsøg os hvis du tør!"

  • 0
  • 0
Christian Nobel

Det du skal overveje er om det giver mening at staten skal bruge en masse penge på at administrerer at der flyttes penge fra en offentlig kasse til en anden?

Der kunne jo komme andre modeller på banen, og hermed taler jeg ikke bøder til virksomhederne, men personstraffe til de personer der har ansvaret for sløseriet - og det mangler i den grad i det offentlige, hvor køen til håndvasken som regel strækker sig til langt ud på gaden.

Og se bare sagen om Infoba, man skyder budbringeren, mens leverandøren til det offentlige slipper af sted med at lave noget sjofelt dårligt.

  • 4
  • 0
Christian Nobel

Det kommer forordningen bare ikke ind på, den omtaler bødestraffe og i forhold til dem er der tvivlsomt om det giver mening også at pålægge offentlige myndigheder bødestraffe.

Nej desværre, og på den måde er det bare en papirtiger.

Og enig, en bødestraf til en offentlig myndighed giver ingen mening, for regningen ender alligevel hos borgerne.

Derfor er min mening, at EU burde tage det lidt mere seriøst, og dermed åbne op for at det er straffeloven der skal i spil - men det sker nok desværre ikke.

  • 1
  • 0
Bent Jensen

Hvis Tyskland, som man formoder nok også vil pålægge bøder til det offenlige, men Danmark måske ikke vil.
Hvis han så har person data ved en offentligmyndighed i Danmark, så kan han vel anlægge sag mod Danmark i Tyskland, eller ved EU mod Danmark ?

Men selv om der ikke er bøder, så kan man man stadig anlægge sag ved EU mod Damark som Dansker hvis ikke det offenlige følger loven, hvad konsekvensen så er ved jeg ikke ?

Ja, jeg har ikke tiltro til at det bliver en bedre i det offenlige med denne lov, end det er i dag. Vil være fint hvis nogen hacket de data, der allerede burde været slettet ifølge loven, også slettet eller kompromiteret dem så de var værdiløse. Som uloveligt indsamlet sundhedsdata.

  • 1
  • 0
René Nielsen

Og enig, en bødestraf til en offentlig myndighed giver ingen mening, for regningen ender alligevel hos borgerne.


Det er jeg ikke enig i! Hvis private selskaber skal betale en bøde, skal offentlige selskaber det også. Om ikke andet så for at pengene forsvinder ud af det offentlige selskabs budget - med budgetproblemer for de ansvarlige for bøden.

Med den logik burde du også afskaffe at offentlig ansatte betaler skat da skatten jo er fiktiv lige som lønnen er fiktiv høj. Men man gør det jo for at kunne sammenligne offentlig og privat ansatte.

  • 2
  • 0
Christian Nobel

Det er jeg ikke enig i! Hvis private selskaber skal betale en bøde, skal offentlige selskaber det også. Om ikke andet så for at pengene forsvinder ud af det offentlige selskabs budget - med budgetproblemer for de ansvarlige for bøden.

Med den logik burde du også afskaffe at offentlig ansatte betaler skat da skatten jo er fiktiv lige som lønnen er fiktiv høj. Men man gør det jo for at kunne sammenligne offentlig og privat ansatte.

Jeg kan sagtens følge din logik, men uanset hvordan vi end vender og drejer den, så vil det mht. det offentlige være en loose-loose sag, hvor det altid vil ende med at det er borgerene der står med sorteper - derfor mener jeg at det er nødvendigt at bringe straffeloven i spil, for at dette kan blive taget seriøst.

Når eksempelvis Henrik Høyer får en dom, og dermed en registrering på sin straffeattest der kan medføre at han mister sin sikkerhedsgodkendelse, ville det så ikke også være rimeligt at noget tilsvarende skete med de ansvarlige i det offentlige, i stedet for en bøde (der tørres af på skatteborgerne) og ellers kun den sædvanlige "fy-fy det må du sandelig ikke gøre igen", eller rituelle omplacering til et andet sted i organisationen hvor de kan sidde og fise den af til samme løn.

  • 2
  • 0
Dave Pencroof

https://www.datatilsynet.dk/nyheder/nyhed/artikel/ny-dansk-udgave-af-for...


Tak igen Morten !
Syntes dog der er indirekte værdi i at det offentlige også får bødestraf
Delvist ved signalværdien dels ved at borgerene bliver mere opmærksomme på mængden af lovbrud i det offentlige og (ønsketænkning) at borgerene af den vej får nok !

Min opfattelse stiller dog krav til at bødekravet inkl årsag kommer frem i medierne (seriøs behandling) selv klart med det faktum at i sidste ende er det borgeren der betaler pga inkompetence/ligegyldighed eller "det er jo ikke mine penge" (jo det er for DU betaler også skat)

  • 0
  • 0
Dave Pencroof

Nu er det jo sådan at forordningen kræver at alle brud eller læk af persondata skal indberettes til Datatilsynet inden for 72 timer og at Datatilsynet skal offentliggøre dem på deres hjemmeside.

Så borgerne får rig mulighed for at orientere sig i databrud eller læk

Nu bliver jeg nødt til at stille dig 2 relaterede spørgsmål :
1 Hvor mange % af danske borgere ser, høre eller læser nyheder ?
2 Hvor mange % af danske borgere går på datatilsynets hjemmeside (ved de overhovedet at siden eksistere) for at søge disse offentliggjorte oplysninger ?

Os brugere af v2 er formodentligt i stand til at søge den viden, men er vi helt ærligt std. danskere i bredeste forstand eller alle sådan lidt nørdede og mere søgende end gennemsnittet ?

Det er usvigeligt sikkert at størstedelen af dette samfund, "ønsker ikke at vide" "har det noget med mig at gøre" "det nytter jo ikke noget alligevel" "det ændre ingenting" "sådan har det altid været" hver enkelt tænker måske det samme som naboen men i stedet for at, i kor at skrige STOP, så sejler vi ud på midten af søen og spørg os selv "hvad kan vi gøre" mens håbløsheden fylder os !

Min tanke er at servere, på lettest tilgængelige måde, viden om og baggrund for magtmisbruget og ulovlighederne på jævnt forståeligt dansk så alle kan være med (måske er der en berettigelse for de sociale medier i denne sammenhæng) så alle kan se/opleve at der er mange andre der også siger STOP, og derfra samler sig og GØR noget !

Der er dog en stopklods, højtuddannede magtliderlige virkelighedsfjerne taburetholdere, dvs folketinget, som taler til os uden reelt at lytte, fremviser ufunderet bagvendt handlekraft og i valg sammenhænge lover de alt muligt efterfulgt af ingenting eller det modsatte !

Desværre er vi trygheds narkomaner og vi ved hvad vi har men ikke hvad vi får, samtidigt med at der er meget lidt nyt blod med nye tanker at udskifte de stagnerede tanker med !

Kik jer omkring ! os debatøre er i højeste grad i mindretal og det er i virkeligheden sådan nogen som os der skal "vække" "bringe til samling" resten af Danmark MEN på en eller anden måde så danskerne ser muligheden for ændring og ønsker den !

Ohh shit ! Nej jeg er ikke hellig eller religiøs, måske lidt psykisk belastet SORRY !

  • 0
  • 0
Log ind eller Opret konto for at kommentere