GDPR nærmer sig: Danske virksomheder er stadig på glatis

Ja, desværre er det de små og mellemstore virksomheder, der er dårligst forberedt og det svageste led i kæden. GDPR er ikke det der står øverst på priotiteringslisten og pengene til efterlevelse er der ikke.

Nah, det er vel mere det offentlige der er det allersvageste led.

Enten fordi det hele sejler, eller fordi man direkte er ligeglad, eksempelvis når Pape slår på tromme for at de enkelte ressortministre kan opstille regler der fuldstændig underminer hele tankesættet bag persondataforordningen.

Selvom offentlige myndigheder har vist sig ikke at være særlig gode til at passe på vores vores oplysninger og data (mild sagt), så mener jeg fortsat, at SMV'erne er dårligere stillet end de offentlige myndigheder, der har skattebetalte penge til rådighed til brug for cybersikkerhed og efterlevelse af GDPR. At de så ikke forvalter disse ressourcer særligt godt eller effektivt er en anden sag. SMV'ere derimod har hverken penge eller indsigt, derfor er de efter min mening det svageste led i kæden. Ikke på grund af uvilje, men fordi de nødvendigvis må prioritere anderledes for at overleve.

Det er også svært at forberede sig når, som artiklen også nævner, mangler klarere retningslinjer for hvad der anses for korrekt håndtering af backups.

Grundet den måde GDPR bliver implementeret på og er dokumenteret ift. at klæde virksomheder på til hvad der er på linje med GDPR , så tror jeg der er mange små og mellemstore virksomheder som gør det så godt de kan uden at bruge utroligt mange penge på konsulenter og ellers skæver til hvad giganter som Google og Facebook gør for at få et prej om hvad GDPR kræver i praksis.

Når der så er faldet nogle bøder kan man så rette yderligere til.

På, hvem der får den første store bøde bliver TDC. Det firma tror jeg ikke jeg har oplevet have styr på en s.... En anden oplagt kandidat må være COOP, har set et par af deres spørgeskemaundersøgelser!

.... eksempelvis når Pape slår på tromme for at de enkelte ressortministre kan opstille regler der fuldstændig underminer hele tankesættet bag persondataforordningen.

Fuldstændig enig. Det er langt værre når offentlige myndigheder bryder loven. Og endnu værre, når landets øverst juridiske myndighed prøver at omgå EU lovgivning, under påskud af "nationens sikkerhed" (eller hvad man nu ellers finder på. Lige nu er det mere ovre i: "vi forventer at EU vil ændre på GDPR, så vores regler bliver lovlige, og derfor laver vi dem ikke om, men venter bare med de gamle regler i fuld funktion"). Hvordan forestiller man sig, at SMVer og alle andre skal kunne agere i et sådant juridisk morads? Når lovgiverne bryder loven får man problemer der er meget større end når alle andre gør det.

Hvis vi ser på udbuddet af f.eks. kurser fra advokatfirmaer, der postulere at man på én uge kan blive complient til GDPR og man så prøver et sådant kursus - så kan jeg i hvert fald godt forstå at SMV'er ikke tager dette særlig alvorligt. Når et kendt advokatfirma i Kbh udtaler på kursus, at alle artikler efter nr 30 ikke er relevante for SMV'er - hvor er vi så henne? Jeg har brugt 9 måneder med daglig læsning og fortolkning af GDPR og der er virkelig mange SMV'er der får en rigtig stor og grim overraskelse hen over efteråret 2018 - fordi puha, der mange rådgivere der har solgt katten i sækken (vel og mærke uden ansvar for egen rådgivning)

Vi skriver 22. januar 2018, men hvis man kigger på Datatilsynets hjemmeside for at få vejledning om GDPR kan man stort set kun få fugle på taget. Sakset fra deres eneste hjemmeside som indeholder information om GDPR (det findes ikke engang som emne i emne-oversigten) https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesfo...

1. Fortegnelse (kommer i januar 2018)
2. Behandlingssikkerhed (kommer i februar 2018)
3. Databeskyttelse gennem design og standardindstillinger (kommer i januar 2018)
4. Konsekvensanalyse (kommer i januar 2018)
5. Håndtering af brud på persondatasikkerheden (kommer i januar 2018)
6. Registreredes rettigheder (kommer i februar 2018)
7. Databeskyttelse på det ansættelsesretlige område (kommer i februar 2018)

Hvordan i h... h... h..... har de tænkt sig at almindelige mennesker (herunder SMV'er) skal nå at gøre noget som helst, når der formentlig bliver mindre end 3 måneder fra vejledningen om "Registreredes rettigheder" ligger klar og til GDPR træder i kraft?

Til sammenligning har vores norske, franske og tyske venner i flere måneder (år!) haft materiale liggende klar om hvordan man griber GDPR an.

Det er bare for slapt...

@Lars Christensen

Jeg er helt enig, har selv brugt det meste af et år på at finde hoved og hale i den nye forordning, samt haft fornøjelsen af at være på diverse GDPR konferencer, samt diskutere med GDPR ansvarlige fra adskillelige virksomheder.

Min konklusion er: - Kendskabet er generelt dårligt, reglerne bliver tolket i øst og vest. - Mange virksomheder ser det som et Jura projekt, og ikke et projekt som kan gavne deres fremtidige IT sikkerhed. - Samarbejde og forankring i organisationen er en by i Rusland. - Jura sender div spørgeskemaer ud i hele organisationen som ingen har en kinamands chance for at svare på. - Mange har tendens til at grave sig så langt ned i detaljerne på få ting som for eksempel hvordan data opbevares i en database, men glemmer så at der er en 3. part databehandler som man ingen aftaler har med. - Der bliver ikke lavet workshops som skal få styr på "processer og standarder" så i steded for at f. eks. melde ud at det her er den måde vi håndtere xxx på tværs af organisationen, bliver alle systemejere bedt om at melde tilbage med hvordan de har tænkt sig at gribe det an.

Det er super ærgerligt at der ikke er flere der har en "forretningsmæssig" tilgang til GDPR, for det giver virkelig nogle muligheder for at få styr og struktur på nogle ting, som senere kan give kæmpe besparelser, og så er der jo ingen der forhindre at man høster frugterne under implementeringen.

Det lyder godt nok foruroligende, det I fortæller...

I eftermiddag kl.. 14 er der samråd om justitsministerens udspil om den danske implementering: http://www.ft.dk/aktuelt/webtv/video/20171/reu/td.1458547.aspx

Og Politiken fortæller, at LA er ved at få kolde fødder over udspillet: https://politiken.dk/indland/politik/art6304774/Liberal-Alliance-vil-%C3...

Det er jo godt....

Og Politiken fortæller, at LA er ved at få kolde fødder over udspillet: https://politiken.dk/indland/politik/art6304774/Liberal-Alliance-vil-%C3...

Det er jo godt....

Ja, jeg var også ved at få kaffen (af den imaginære slags) galt i halsen, da jeg læste det her til morgen. Det er godt nok sjældent jeg er enig med eller siger tak til LA. Men tak LA!

En smule off topic, men jeg har ikke kunnet få svar nogle steder:

Jeg driver et par webtjenester (en gæstebog og en webtæller) som folk efter godt 20 år stadig er glade for at bruge. Det er i 100% privat regi og jeg får ingen penge af nogen - det er en hobby og udgiften en hobbyudgift.

Men risikerer jeg som privatperson at få millionbøder hvis jeg ikke har styr på tingene?

Pt. er jeg i gang med en renovering med henblik på sikkerhed og privatliv og jeg har aldrig sporet folk på tværs af sider eller solgt info. Tælleren har jeg endda gjort open source. Men hvis jeg risikerer at sætte min families økonomi over styr, vil jeg hellere lukke det hele ned.

Principielt set (når jeg siger principielt set, så er det fordi Pape&Co jo fortolker det radikalt anderledes) gælder det for alle der er ansvarlige for, eller behandler persondata.

Men det er lidt svært at svare entydigt på, for hvis f.eks. det eneste webtælleren gør er at registrere et samlet tal for IP adresser, så er der nok ikke så meget at komme efter, men hvis du begynder at samle deciderede personoplysninger, som f.eks navn og adresse og især det åh-så-hemmelige CPR nummer, så er det en anden sag.

Meget af øvelsen drejer sig også om vurderingen af hvilke data man har, om man behøver dem, og dernæst hvordan man sikrer de ikke mistes, og hvad man vil gøre hvis det går galt.

Men det er lidt svært at svare entydigt på,

Jeg synes det er rigtig svært. For når man registrere sig skriver man et navn og en e-mail. Jeg arbejder på at få alle IP-adresser helt væk, men så kigger jeg i access_log... og alle der har et webhotel til 1 euro med logfiler, har jo disse i massevis. På mit arbejde mener den juridiske afdeling, at selv en dynamisk IP-adresse er personhenførbar og vi har haft diskussioner om et personnavn i et virksomhedsnavn er underlagt.

Og går der noget galt har jeg en god idé om hvad jeg vil gøre. Men jeg har ikke dokumenteret det. Selv hvis jeg ikke gør noget galt, hvis der bare indledes en undersøgelse eller en sag, vil være dyrt for mig og familien.

Jeg må sige, at jeg føler med GDPR som om at det måske skal få styr på Google og Facebook, men det kan ende med at slå dem ihjeld der prøver at gøre det rigtige.

En del af min frustration er, at hvis jeg ikke ønsker at ofre 50000 på advokater til mit hobbyprojekt, aner jeg faktisk ikke om jeg er købt eller solgt hvis jeg lader det køre.

Jeg synes det er rigtig svært.

Det er det også, bla. fordi Datatilsynet snorksover som Henrik beskriver ovenfor.

Generelt er det også svært, fordi der ikke eksisterer nogen præcendens, eller konkrete sager at læne sig op ad.

For når man registrere sig skriver man et navn og en e-mail.

Og dermed er der gemt det der hedder almindelige oplysninger, som man ret til at bede om bliver glemt, og det stilles krav til samtykke - men det er håndterbart ved accept.

Men du skal tilbyde muligheden for at oplysningerne kan fjernes igen, og at de ikke går videre til tredje part.

Jeg arbejder på at få alle IP-adresser helt væk, men så kigger jeg i access_log... og alle der har et webhotel til 1 euro med logfiler, har jo disse i massevis.

Se den er jo interessant, for hvis almindelige systemrelaterede logfiler skal inddrages, så kan det blive muntert - men der er garanteret ingen der kan give et 100% konkret svar.

På mit arbejde mener den juridiske afdeling, at selv en dynamisk IP-adresse er personhenførbar og vi har haft diskussioner om et personnavn i et virksomhedsnavn er underlagt.

Et personnavn i en virksomhed må anses for underlagt, al den stund det beskriver en personlig sammenhæng (nemlig at du arbejder i virksomhed XX), men IP siden er straks mere tricky.

At visse personer inden for rigspolitiet et al så også prøver at underminere Carrier Grade Nat gør i den sammenhæng det kun endnu sværere at navigere.

Jeg må sige, at jeg føler med GDPR som om at det måske skal få styr på Google og Facebook, men det kan ende med at slå dem ihjeld der prøver at gøre det rigtige.

Enig.

En del af min frustration er, at hvis jeg ikke ønsker at ofre 50000 på advokater

Hvilket under alle omstændigheder vil være spildte penge, for advokater tager aldrig ansvar, så hvis det går galt, så har advokaten allerede besøgt håndvasken, og er langt væk med dine penge.

Generelt, ind til der er noget helt håndfast, så er det bedste at følge sin egen paranoide fornuft, og især fokusere på at holde sig strikt til need-to-know, og især sørge for security-by-design.

Jeg driver et par webtjenester (en gæstebog og en webtæller) som folk efter godt 20 år stadig er glade for at bruge. Det er i 100% privat regi og jeg får ingen penge af nogen - det er en hobby og udgiften en hobbyudgift.

I princippet gælder GDPR for alle, der behandler persondata. Men der er et par "smuthuller":

1) Den bøde du kan få bliver sat efter din omsætning. I og med at du ikke tjener penge på din service, så vil bøden nok blive meget beskeden.

2) Du er sådan set ikke "data ansvarlig" (data controller i GDPR jargon), men "data behandler". Du leverer jo kun en service der bruges af nogle andre websites - de besøgende på siderne med din tæller/gæstebog er jo i virkeligheden på besøg på en anden hjemmeside, som blot henter et HTML element med din tæller. Derfor er det den oprindelige hjemmesides ansvar at have styr på samtykke til registrering af oplysninger. De skal så formelt set indgå en databehandler-aftale med dig :-)

3) Ud over selve forordningen, så er der en hel stribe såkaldte "Recitals" som har betydning for fortolkningen og implementeringen af forordningen. ( https://gdpr-info.eu/ er et praktisk sted at læse forordningen og de tilhørende recitals). Den interessante her er recital 13, som blandt andet indeholder denne begrænsning:

To take account of the specific situation of micro, small and medium-sized enterprises, this Regulation includes a derogation for organisations with fewer than 250 employees with regard to record-keeping. In addition, the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation.

Hvordan "derogation" så præcis skal fortolkes (det betyder en "indskrænkning" eller et "bortfald") er ikke klart (det er jo jura...) Men jeg ville mene at det var tilstrækkeligt hvis du på hjemmesiden har et dokument, som fortæller at du gemmer IP-adressen/Navn/whatever på de besøgende, som tilgår en hjemmeside med din tæller eller gæstebog.

M.h.t. access-loggen vil jeg blot sørge for at slette dem lige så snart du ikke har nogen grund til at gemme dem længere.

Såvidt jeg forstår gælder skat's krav om at man skal gemme faktura'er i 5 år stadigvæk - så man skal huske ikke at slette fakturaer på kunder der vil slettes :)