Ny persondata-vejledning: Sådan undgår du giga-bøder

DI har udgivet en vejledning, der skal hjælpe danske virksomheder med at overholde EU's persondataforordning, der træder i kraft om to år.

Reglerne i EU's nye persondataforordning træder i kraft den 25. maj 2018. Altså om to år fra nu. For at hjælpe de danske virksomheder med at få styr på forordningen har DI udgivet en vejledning, der blandt andet indeholder en tjekliste med spørgsmål og en række anbefalinger.

Chefkonsulent Henning Mortensen, DI Digital. Illustration: Rådet for Digital Sikkerhed

»Der er mange virksomheder, der ikke er forberedte på de her nye regler. Med vejledningen prøver vi at gøre 261 siders lovgivning og 99 artikler konkrete og operationelle for virksomhederne,« siger chefkonsulent hos DI Henning Mortensen.

Han fortæller, at EU-forordningen er skrevet på 'jura', og det gør indholdet utilgængeligt for virksomhederne.

»Vi forsøger at skrive den om til dansk. I bilag 1 forsøger vi så at skrive den om til it-sikkerhed, der også er et fremmedsprog, som en anden gruppe har svært ved at forstå,« siger Henning Mortensen og tilføjer:

»Hvis man skal komme i mål med det her, så er hovedanbefalingen fra DI, at man får sine jurister til at arbejde sammen med sine it-sikkerhedsfolk. Det her er både en juridisk disciplin, og det er en it-sikkerhedsmæssig disciplin.«

Dokumentation er afgørende

Som eksempler på det juridiske aspekt nævner han EU-forordningens krav til, at virksomhederne skal dokumentere og oplyse om databehandling. I forhold til det it-sikkerhedsmæssige er sådan noget som pseudonymisering og kryptering relevant i relation til at leve op til reglerne.

Noget af det, der har fået en del opmærksomhed i EU-forordningen, er de forholdsvis heftige bødestørrelser, private organisationer risikerer at få, hvis de overtræder reglerne. Bøderne kan være helt op til 4 procent af virksomhedens koncernomsætning eller 20 mio. euro. Det største beløb vil altid blive lagt til grund for en eventuel strafudmåling over for den pågældende virksomhed.

Henning Mortensen fortæller, at tanken med DI's vejledning dels er at gøre forordningen operationel for virksomhederne, så de ikke ender med store bøder. Og så peger han på, der kan være forretningsmæssige gevinster at hente for organisationerne, når de alligevel gennemgår deres forretningsgange som følge af forordningen.

DI's vejledning kan hentes her (PDF)

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Bobjerg Juul

"får sine jurister til at arbejde sammen med sine it-sikkerhedsfolk."

It folk er anarkister der har viden om så mange detaljer at juristerne får ondt i hovedet og jurister er ellers kendt som personer der kan læse sig igennem et medicin semester og bestå eksamen (dog uden nødvendigvis at forstå det læse)

Jurister er typisk placeret højere i hierarkiet, så hvem mon vinder dialogen med "jeg bestemmer mere end dig!"

  • 1
  • 0
Mette Nikander

Jeg ved at vejledningen er ment som et "levende dokument", der opdateres i takt med, at vi (C-cure, Microsoft og andre)der sidder i Sikkerhedsudvalget i DI Digital sammen med Henning Mortensen, får tilegnet os fortolkningsbidrag fra Kommissionen, artikel 29-gruppen/EDPB og Justitsministeriet/Datatilsynet. Hvis man synes at det er en tung omgang at få læst og forstået, så er der hjælp at finde hos DI Digital og er man ikke medlem, er det jo en god anledning;-) Alternativt kan man kontakte en af de parter der har været medhjælpende på vejledningen

Med venlig hilsen Mette Nikander/C-cure.

  • 0
  • 0
ove kjær kristensen

Hvis det er tilfældet, at den danske stat skal betale 4% af brutto national produktet når de overtræder loven om person beskyttelse , er det noget galt med loven. Jeg mener at hvis en offentlig institution overtræder loven, skal det sættes i forhold til den enkelte offentlige virksomheds omsætning, ligesom det gælder for private virksomheder. Kjeld Flarup Christensen. Staten kan ikke kontrollere hver enkelt offentlig virksomhed, og det kan f.eks. Dansk Arbejdsgiverforening ej heller omkring omsætningen af alle deres medlems virksomheder. DA vil vinde sagen om forskels behandling, ingen tvivl om det. Loven må laves om, så det kun er den enkelte offentlige virksomhed der kan stilles til ansvar. EU har lavet en gang lov sjusk.

  • 0
  • 0
Kjeld Flarup Christensen

skal det sættes i forhold til den enkelte offentlige virksomheds omsætning

Det rejser så et nyt spørgsmål, hvad er den enkelte virksomhed. Måske på grund af denne lov, vil man se at specielt store koncerner splitter sig op i mindre juridiske enheder, så en evt. bøde bliver mindre. Derfor burde opgørelsen gå på moderselskabet, og så ender vi netop ved staten for det offentligt.

Ja det er lovsjusk. Problemet med det offentlige er blot, at de jo alligevel skal betale bøden af skatteydernes penge.

  • 0
  • 0
ove kjær kristensen

Skatteyderne betaler i forvejen f.eks. patient erstatninger, hvis der er begået fejl på f.eks. sygehusene. Spørgsmålet er så om det har haft en præventativ virkning? Hvis en privat virksomhed idømmes en stor bøde for at overtræde data beskyttelses loven, er jeg ikke i tvivl om, at den skyldige medarbejder vil bliver fyret, og sandsynligvis uden fratrædelsesløn. Når det offentlige begår grove fejl, bliver de oftest forflyttet med mange millioner i fratrædelse, hvorfor? Her er det private og offentlige måske ikke ligestillet? Men ellers er det jo rigtigt, hvis det offentlige begår data brud, er det som vel kun skatteyderne der bliver straffet, hvis det offentlige kan idømmes end bøde. Hvordan få vi ændret den problemstilling?

  • 0
  • 0
Kjeld Flarup Christensen

Hvis en privat virksomhed idømmes en stor bøde for at overtræde data beskyttelses loven, er jeg ikke i tvivl om, at den skyldige medarbejder vil bliver fyret, og sandsynligvis uden fratrædelsesløn. Når det offentlige begår grove fejl, bliver de oftest forflyttet med mange millioner i fratrædelse, hvorfor? Her er det private og offentlige måske ikke ligestillet?

Jeg vil tro at det er det samme. En ansat har rettigheder, og skal disse fratages skal sagen holde i retten, det kan de sjældent. Oftest er der jo også flere som burde have taget ansvar. Derfor vælger man ofte at give en person en masse penge for at være syndebuk. Når det så er sagt, så tror jeg da at bøden har en større effekt i det private, fordi de som har ansvaret, også har en økonomisk interesse i virksomheden.

Men ellers er det jo rigtigt, hvis det offentlige begår data brud, er det som vel kun skatteyderne der bliver straffet, hvis det offentlige kan idømmes end bøde. Hvordan få vi ændret den problemstilling?

Tja, der er vel kun een måde at gøre det på!

Persondata er ikke den eneste grund til at ting skal drives privat. Hver gang jeg læser en højtuddannet og velstillet person, beklage sig over kvaliteten af vuggestuer, børnehaver o.s.v. så ryster jeg lidt på hovedet. De tjener penge nok til at betale selv, alligevel betaler de med glæde halvdelen af deres løn i skat, for bagefter at stå med hatten i hånden og tigge kommunen om at behandle deres børn ordentligt.

Vores velvillighed til at fodre bæstet, har skabt et magtfuldkomment uhyre, som blot lægger enhver kritik bag sig, og fortsætter som hidtil med meget mikroskopiske ændringer.

  • 0
  • 0
ove kjær kristensen

Jeg bryder mig nu ikke om den opdeling, hvor det offentlige fremstår som ueffektive virksomheder. Jeg syntes, at vi i stedt bør fokusere på, at de drives mere rationel og ikke efter det forældede system. NPM. Det kan imidlertidig ikke afvises, at et privat virksomhed kunne få ansvaret overfor, at sikre sikkerheden i offentlige virksomheder? Spørgsmålet er naturligvis til hvilken pris?Når det nævnes eksemplet med børnehaver og kvaliteten her, har de private virksomheder forsøgt og de kan ikke klare opgaven tilfredsstillende, men her er brugerne så vidt jeg ved heller ikke repræsenteret? http://videnskab.dk/kultur-samfund/ny-bog-new-public-management-har-fejlet

  • 0
  • 0
ove kjær kristensen

Kjeld Flarup Christensen. Jeg ved godt at de traditionelle politiske partier har en neoliberalistisk tankegang, med en minimal stat og lade markedskræfterne bestemme resten. I Alternativet har vi taget et opgør med den tankegang. Her har alle direkte indflydelse på den politik vi fører, bare det er ud fra et bæredygtig grundlag. Så alle kan "stemme" her hver dag ikke til folketinget, men til den politik vi fører. Vi har taget politikerleden alvorlig. Derfor har vi bl.a. fået gennemført, at hvis du samler 50.000 stemmer for et forslag skal Folketinget debattere og tage stilling til det. Dette har vi ønsket bl.a. for at vælgerne skal lære alle politiske partiers holdning til problemet. Så hvis du har et forslag du syntes, at du ikke kan komme igennem med, så saml disse underskrifter. Det er især de gamle store politiske partier der er imod vælgernes udvidede demokratiske ret. Her op til landsmødet i Odense i lørdags fik vi alene på en dag over 100 nye medlemmer.

  • 0
  • 0
Bjarne Nielsen

Politikerne! Det er dem som har pengene ikke dig.

Der rammer du - sørgelig nok - hovedet på sømmet!

Der tegner sig efterhånden et klart mønster af, at vi borgere ikke er kunderne, men derimod produktet. Seneste sørgelige eksempel er "Den fællesoffentlige digitaliseringsstrategi", men også f.eks. grundholdningen om, at hvis man modtager noget "gratis" fra det offentlige, så må de sælge dig. Og sådan man desværre blive ved og ved.

Mogens Nørgaard havde et billede, som gik noget i retning af, at grise vender sig imod foderet, og så kan man tænke over, hvilken ende der kommer til at vende imod os. Meget rammende, synes jeg.

  • 1
  • 0
Kjeld Flarup Christensen

Jeg tænkte nok du holdt til hos Alternativet. Et svar på politikerleden. Desværre så gør Alternativet ikke noget ved det som skaber politikerleden, nemlig at det ikke et muligt at opkræve nok penge i skat til at finansiere alle velfærdsønskerne. NPM er et forsøg på at bevare den illusion - resultat politikerlede. Hvordan Alternativet vil gøre økonomien i velfærdsstaten bæredygtig uden igen at skabe politikerlede glæder jeg mig til at se.

  • 0
  • 0
ove kjær kristensen

Kjeld Flarup Christensen. Det kan jo ikke afvises, at de ønsker vi som vælgere har til digital sikkerhed, også er forbundet med vore velfærds ønsker, omkring styrings mekanismerne. Du mener ikke det er muligt, at opkræve penge nok i skat til, at finansiere alle vores velfærds ønsker, herunder digital sikkerhed? Det har du ret i, hvis vi betragter det nuværende økonomiske system, men i Alternativet ønsker vi, at ændre det nuværende økonomiske system, så det bedre bliver i overensstemmelser med befolkningens behov og bæredygtighed. Derfor ønsker vi, at indføre cirkulær økonomi, som i langt højere grad vil kunne imødekomme den mest hensigtsmæssige anvendelser af vores økonomiske ressourcer, og dermed også en digital sikkerhed som opfylder vores behov. http://www.cradlepeople.dk/hvad-er-cirkulaer-okonomi/#.V01PC_mLSM8

  • 0
  • 0
Kjeld Flarup Christensen

Jeg kan ikke se hvordan du vil opfylde behovet for f.eks. digital sikkerhed, hvis ikke borgeren kommer mere ind i processen. Fint med jeres cirkulære økonomi, men hvordan vil I sikre borgerens behov, hvis ikke borgeren via markedskræfterne har en direkte indflydelse. Så bliver det blot NPM om igen de næste 10-20 år, indtil nogen finder et nyt buzzword.

  • 0
  • 0
ove kjær kristensen

Kjeld Flarup Christensen. Naturligvis skal borgerne have indflydelse på den digitale sikkerhed. Stat, kommuner og de faglige organisationer, har netop måttet skrotte computer programmer, fordi computer eksperterne ikke har ment, at brugerne skulle tages med på råd. Det har koster tabte ressourcer i milliard klassen. Jeg tror ikke at den fejl bliver gentaget igen. Vi finder ikke noget nyt buzzword, hvis den nye strategi har slået fejl. Udviklingen af større IT sikkerhed er en løbende proces der aldrig slutter, og den tør vi ikke overlade til de såkaldte eksperter alene.

  • 0
  • 0
Log ind eller Opret konto for at kommentere