Datatilsynet om ny databeskyttelsesforordning: »Det er møghamrende indviklede regler«

Der er stadig mange uklare punkter omkring EU's kommende persondataforordning, som kan udløse kæmpebøder til dem, som ikke er klar til deadline.

Om godt et år træder EU's Databeskyttelsesforordning (GDPR) i kraft, og til den tid bør samtlige virksomheder, som håndterer persondata, have sat sig meget godt ind i reglerne. Det kan give kæmpebøder, hvis ikke bestemmelserne i forordningen overholdes. Helt op til 4 procent af global årlig omsætning kan det koste.

Men som tiden nærmer sig er der stadig et væld af spørgsmål, som mange savner svar på – men som virksomheder og offentlige organisationer imidlertid skal have styr på.

Tror, mener og håber

Uklarheden kunne spores, da Datatilsynet for nylig holdt et oplæg på konferencen Offentlig Digitalisering 2017 i Aarhus, arrangeret af Dansk IT. Mangel på præcis instruks kendetegner stadig en stor mængde af de svar, som blev givet til de lettere nervøse tilhørere.

»Jeg kan ikke få det til at blive nemt. Det er møghamrende indviklede regler,« sagde Lena Andersen, kontorchef i Datatilsynet, til konferencen.

Blandt andet kom genbrug af data op under oplægget. Der kommer til at være strengere krav til, hvornår man må genbruge eller sammenkøre data, og hvornår man skal holde fingrene væk. Dette fremgår af forordningen, men nøglen ligger som bekendt i detaljerne, og detaljerne er endnu uklare for mange brugere.

»Man må gerne genbruge persondata men løsningen skal indrettes sådan, at databehandlingen dokumenteres og er transparent, at kun de nødvendige personoplysninger udveksles, og at de registrerede gives indflydelse hvor det er relevant,« siger Lena Andersen til Version2.

Selv om de grundlæggende kriterier på området videreføres i forordningen fra den nuværende Persondatalov, så er spørgsmålet for mange bare, hvornår noget er tilstrækkeligt transparent, nødvendigt og relevant.

Et andet og måske mere oplagt usikkerhedspunkt er Persondataforordningens krav om, at it-systemers standardindstillinger skal indstilles, så de fremmer dataminimering og formålsspecifik behandling - hvis systemet vel at mærke giver en sådan teknisk mulighed.

Det er nemlig nyt og svarer ikke helt til noget i den nuværende Persondatalov. Men hvornår rammer man den rigtige indstilling, så databeskyttelsen er tilstrækkeligt fremmet?

Situationen kan f.eks. være, at man har oprettet en profil på et socialt medie. Men det kan også være relevant for myndighedernes indretning af deres systemer.

Usikkerhed i Københavns Kommune

I Københavns Kommune er man i gang med at gøre klar til, at den nye forordning træder i kraft. Den kommer til at betyde en fuldkommen ændring i de processer omkring oplysning, som man hidtil har været vandt til. Forordningen gør nemlig, at man fremover skal dokumentere, hvilke personoplysninger, man behandler.

Chefjurist i Københavns Kommunes økonomiforvaltning, Vibeke Iversen, fortæller til Version2, at de er i fuld gang med at identificere de behandlingsaktiviteter, som kommunen råder over:

»Det er en stor opgave i vores kommune, da vi er en virksomhed med 45.000 ansatte, som har en meget høj grad af borgerkontakt,« siger hun.

Hun påpeger dog også, at der er en vis usikkerhed med, hvad forordningen i sidste ende kommer til at betyde for virksomeheden.

»Der er en del uklarheder, som vi løbende må forholde os til. Justitsministeriet kommer først med en lovgivning om konsekvenserne for dansk lovgivning i øvrigt, og en meget stor betænkning inden sommerferien, som går dybere ind i fortolkningen af forordningen.«

På nuværende tidspunkt fokuserer de på, hvad der i forvejen er gældende i dansk ret.
»Vi er ret sikre på, at de krav, som står i den nuværende persondatalov, fortsat vil være gældende efter den nye forordning – der vil bare komme flere krav ovenpå,« siger Vibeke Iversen.

Uklare fælder

Eksempler på lavpraktiske problemstillinger har vi listet op nedenfor. Det er som nævnt kun eksempler; der er mange andre områder, som man bør være opmærksom på.

1) Lagring af kontakter i skyen
I forordningen står der eksplicit, at personoplysninger forstås som "en information om (…) en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn". Det tyder på, at også kontakter kan være omfattet, da de oftest vil indeholde både navn og telefonnummer.

2) Nye krav til kryptering og lagring af personoplysninger
Det er ligeledes værd at være opmærksom på, hvorvidt der vil komme nye krav til den måde, man håndterer brugerdatabaser på. Kommer der nye krav til kryptering og lagring af personoplysninger som mail, navn og adresse? Skal login foregå via HTTPS sikrede forbindelser?

3) Har det effekt på skybaserede email-systemer?
Reelt set kan man sige, at der er tale om en søgbar database, som i mange tilfælde vil indeholde personoplysninger. Her er det værd at være opmærksom på, hvorvidt eventuelle nye regler kan clashe med sit nuværende mailsystem. Risikerer man en bøde ved det system, som man bruger nu?

4) Bliver det offentlige mål for bøder?
Dette spørgsmål fyldte en del til den føromtalte konference, og var da også grundlag for spekulationer og nervøse miner blandt tilhørerne. Her kunne Lena Andersen fra Datatilsynet give en form for svar, men ikke noget, som endeligt kunne hverken be- eller afkræfte, om eksempelvis kommunerne kan blive mål for de efterhånden sagnomspundne kæmpebøder. Dog sagde hun, at

»Det er en politisk beslutning. Men der skal ske et eller andet – man kan ikke bare sige, at vi ikke skal lave bøder. Så må vi gøre noget andet, men hvad det er, kan jeg ikke engang komme med et bud på.«

I næste måned forventes Justitsministeriet at komme med deres bud på, hvordan forordningen skal implementeres i dansk lovgivning. Der er udsigt til en publikation - en betænkning - på 800-1000 sider om forordningen, som dataansvarlige og databehandlere altså skal leve op til.

Den har man i Justitsministeriet arbejdet på i et samarbejde med Datatilsynet og Digitaliseringsstyrelsen. Lena Andersen anbefalede kraftigt, at man anskaffer sig publikationen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Marie Krogsbøll

Hvad betyder disse nye regler for regionernes nye planer om "Sundhed i Skyen"? Er vore sundhedsdata sikre nok der? Eller har man fra dansk side simpelthen tænkt sig at bøje reglerne? http://www.regioner.dk/media/4681/sundhed-i-skyen.pdf

Og hvad betyder de for Sundhedsplatformens deling af vore sundhedsdata med EPIC i USA - noget der i følge aktindsigt er sket mindst 1093 gange siden ibrugtagning af Sundplatformen?

  • 5
  • 0
#2 Jesper Frimann

hvor kompliceret, indviklet og umuligt, de opgaver de er stillet over for er. Og de barsler dermed med en bog på 1000 sider forhåbentlig ikke i kancellisprog om, hvordan man skal forholde og fortolke nye regler. Og inden vi ser os om så er dette vokset til titusindvis af sider, som ingen forstår og ingen retter sig efter.

Men her er det så, at jeg savner, at i stedet for at 'djøffe rundt', så man sætter faktiske kompetente IT-fagfolk på sagen. Der er mange gode typer af IT folk, der kan tage sådan noget. Altså tage komplekse .. regler om Datasikkerhed.. og omsætte dem til et sikkerheds koncept/regime, som både er relativt simpelt (set i forhold til meget komplekse regler skrevet ned i prosa), faktisk kan implementeres og som måske endda kan være til ekstra gavn for borgerne. (hey og danske virksomheder også).

Der er jo ikke nogen der siger, at den implementering af reglerne man laver i Danmark ikke må være bedre end det som reglerne fra EU siger.

Hvorfor sidder der embedsmænd og kager rund i det her, når vi har kloge folk, i Industrien og på universiteterne, som kan sådan noget her. For hvem det at tage sådan 'en specifikation', som sådan en lov er og omsætte den til en model, der faktisk kan implementeres, er det de gør.. det er deres faglighed.

Det er endnu et eksempel på den foragt for faglighed, der er fra centralt politisk hold. Det ... ja .. er mega frustrerende, at være vidne til.

Så få da nogle EA'ere, Dataarkitekter, Sikkerheds arkitekter og ditto specialister fra industrien og universiteterne til, at komme op med en løsning, i stedet for at skrive side op og side ned i djøffisk.

// Jesper

  • 7
  • 3
#5 Mikael Ibsen

som stort set ingen har resourcer og tid til at gennemlæse - endsige forstå - vil være en velkommen mulighed for uddeling af dummebøder ad libitum. Riget fattes penge, så udlægning af flere snubletråde er en glimrende måde at styrke kassebeholdningen på. Et 50 siders koncentrat vil utvivlsomt hjælpe meget, hvor kompetancen allerede er til stede, men problemet men forståelsen af de mange fagudtryk og begreber, for slet ikke at tale om de efterfølgende handlinger, forsvinder ikke med et sådant resume for alle de små firmaer, som ikke lige har en toptunet IT-afdeling. Og dem er der mange af i DK. Men tillykke da til de to vindere: Stat og konsulentbranchen.

  • 1
  • 1
#6 Patrick Moog

Et eksempel på hvor komplekst og omfangsrigt den nye forordning er:

Hvis du har en tømrerforretning og modtager skriftlige job ansøgninger skal du dokumentere hvordan du opbevarer disse ansøgninger, da de indeholder person data. Dertil skal du dokumentere hvordan du sletter denne data igen efter tid. Dertil skal du dokumentere hvordan processen for at slette data igen er, hvis den jobsøgende ønsker dette (right to be forgotten). Årsagen til dette er at man i den nye forordning skal kunne dokumentere alle sine "data strømme", og her menes der altså skriftlig dokumentation hvis datatilsynet kommer forbi.

Jeg har talt med flere it-ansvarlige der praktisk talt har valgt at lukke øjnene for den nye forordning fordi det er umuligt at gennemskue eller faktisk at implementere, den danske "fortolkning på 800-1000 sider, kommer nok ikke til at hjælpe...

  • 0
  • 0
#7 Kjeld Flarup Christensen

Man kunne næsten ønske at sanktionen var fængselsstraf og ikke bøder. Derved ville firmaerne være bedre beskyttet af menneskerettighederne.

Når det "kun" er bøder er der jo ingen frihed og ejemdom der er truet. EU skærer altså igennen og finder en legal måde at undertrykke borgerne på.

Nogle gange siger man at det offentlige ikke følger med tiden og tilpasser sig de nye tider. Her er dog et ud af mange eksempler på at det nu går ret godt med at udøve magtfuldkommenhed. At smide folk i fængsel har ingen plads i moderne magtudøvelse.

En klar lovgivning bør være en ny menneskeret. Lad mig lige citere Jyske lov fra 1241: "Loven skal være ærlig og retfærdig, tålelig, efter landets sædvane, passende og nyttig og tydelig, så at alle kan vide og forstå, hvad loven siger. " Igen falder bøder også udenfor hvad der er tænkt på med Jyske Lov.

Skal man som privat erhvervsdrivende være sikker på at overholde loven, skal man lukke virksomheden i et år, sætte sig ned og læse lov efter lov. Og så efter et år åbne op igen, uskyldsren og håbe på at der stadigt er kunder tilbage.

  • 0
  • 0
#8 Bente Hansen

Hvis de ikke kan finde ud af at regler, og endsige håndtere dem. Så har de nok et forkert job.

De er ikke meget forskellige i forhold til nu, bøderne er bare blevet så store, at dem som ikke har overholdt dem til nu, er blevet bange.

Hvis man kryptere, holder data inden døre, ikke har tænkt sig at sælge eller dele data. Samt husker at slette og fjerne data løbende. Samt har et normalt overblik, over sine data. Så er man kommet langt.

Hvis man hovedløs har lagt alt op i skyen, outsources alt til Indien, og fyret sin IT afdeling. Så har man muligvis et problem.

  • 0
  • 0
#9 Kjeld Flarup Christensen

Hvis de ikke kan finde ud af at regler, og endsige håndtere dem. Så har de nok et forkert job.

Efterspørgslen på spåkoner synes at være stigende.

Hvis man kryptere, holder data inden døre, ikke har tænkt sig at sælge eller dele data. Samt husker at slette og fjerne data løbende. Samt har et normalt overblik, over sine data. Så er man kommet langt.

Lad os bare antage, at det gør vi allesammen, vi ved godt hvad der skal til. Tilsæt så nogle DJØF'ere som ved bedre end os eksperter og giver dig en bøde fordi du sletter data en uge for sent.

Problemet er jo også, at det skal "dokumenteres". For mig at se er det vigtigere at det gøres end at det dokumenteres. Det private skal blot også have et svirp af New Public Management,

  • 0
  • 0
#10 Jan Juul Mortensen

EU-Persondataforordningen stiller krav som: Forespørgslen på et samtykke skal desuden være forståelig, være i en nemt tilgængelig form og anvende klart og tydeligt sprog.

Det ville være et skridt i den rigtige retning hvis Justitsministeriet og Datatilsynet sammen sørgede for, at lovkravende i Danmark overholdt ovenstående simple regler, altså krav om forstålighed, nemt tilgængelig form og anvendelse af et klart og tydeligt sprog. Noget enhver dansker let vil kunne forstå er da et godt udgangspunkt. Men det er jo let, at stille krav til andre og så undlade selv, at vise muligheden for, at leve op til disse krav.

  • 0
  • 0
#11 Henrik Sørensen

GDPR er en katastrofe. Intet mindre! En gang politisk makværk af kompromis'er og talentløshed, der kun overgås af de licensaftaler (EULA'er) de store softwarefirmaer disker op med.

@Frimann hverken EA'ere eller masterdata eksperter kan desværre hjælpe her, for den underliggende lovgivning er håbløs.

Som borgere har vi brug for beskyttelse mod dataindsamlere og databrokere som Google og Facebook med flere, samt mod alle de hel- eller halv lyssky marketings- og profiltroldmænd, der findes derude... og det får vi næppe med forordningen.

Vi har også brug for at vores regeringer og offentlige myndigheder ikke vilkårligt må indsamle alle mulige oplysninger om os og bruge dem imod os i stedet for til gavn for os. Der hjælper forordningen heller ikke.

I stedet har vi fået en lovgivning, der straffer helt almindelige virksomheder og tvinger dem til en omgang galimatias af Kafkaske dimensioner. Bemærk fx, at de nationale datatilsyn fremover SKAL idømme sanktioner ... første skridt er altså en bøde og ikke en advarsel eller andet ... og virksomhederne har pligt til at anmelde sig selv ...!

"Jo, men det er jo også nødvendigt for at ramme synderne og stramme op"', vil strammerne sige, men er det nu også det? Er det et princip vi normalt hylder...? Ringer vi til politiet og anmelder os selv hver gang vi er kommet til at køre en smule for hurtigt? ... nej vel...?

Er der nogen der er ved deres fornufts sunde brug, som i alvor forventer, at de slemme drenge melder sig selv hos det lokale datatilsyn...? ... kommer vi ikke bare til at se at de opererer udenfor EU's jurisdiktion fra en eller anden åndssvag ø et sted ... fuldstændig som det sker med skat ...?

I realiteten bør forordningen koges ned til nogle få paragraffer:

1) Du skal opføre dig ordentligt og passe på de data du er betroet 2) Du må ikke videregive eller videresælge data uden accept fra den data vedrører 3) Data købt af andre må ikke videresælges uden fornyet accept fra den data vedrører 4) Hvis den data vedrører henvender sig til dig og beder dig slette personlige data så skal du gøre det så længe det ikke strider mod anden lovgivning og du er forpligtet til at anmode alle dem du har videregivet data til om det samme såfremt det ønskes af den data vedrører. 5) Kan du ikke opføre dig ordentligt, så kommer din sag for Klagenævnet for Etisk Korrekt Brug af Data. Nævnet uddeler sanktioner i overensstemmelse med forventningerne hos almindelige borgere. 6) Følger du ikke rådets afgørelser bliver du udsat for teknisk blokering på internettet i EU.

... lyder det dybt tåbeligt og naivt, så vær sød at læse persondataforordningen og forarbejderne til den, så får du en helt ny målestok for tåbelig og naiv.

God påske

  • 0
  • 0
#12 Jesper Frimann

@Henrik Jo, lovgivning plejer jo at være håbløs. Men der er jo ikke noget, der forhindrer rette myndighed i, netop som jeg siger, at sætte nogle kompetente fagfolk til at se på tingene og komme op med en enten version af lovgivningen eller en implementerings vejledning, som måske er gennem analyseret, simplificeret og generaliseret. Og derfor nemmere og billigere at forstå, implementere og vedligeholde.

Det er jo netop det, som er en af fornemmeste opgaver for IT-arkitekten.

Om det kan lade sig gøre at lave simplificerede og generaliserede regler, ved man jo først efter, at fagfolk har analyseret tingene igennem.

Og god påske til dig min ven.

// Jesper

  • 2
  • 0
Log ind eller Opret konto for at kommentere