PERSONDATAFORORDNINGEN (GDPR)

Som du nok har læst eller hørt, trådte EU’s Persondataforordning i kraft d. 25. maj 2018. Det betyder, at alle virksomheder i Danmark skal leve op til den nye forordnings formuleringer, ellers kan man risikere markante bøder fra Datatilsynet, helt op til 4% af koncern omsætning pr overtrædelse. Persondataforordningen erstattede den gamle Persondatalov, som derved bortfaldt helt ved ikrafttrædelsens dato.

De væsentligste konsekvenser af Persondataforordningen i forhold til Persondataloven er, at de virksomheder, der behandler personoplysninger, har større forpligtelser, der blev indført udvidede rettigheder for de registrerede, og de nationale tilsynsmyndigheder har fået skærpede håndhævelsesmuligheder.

 

En meget simpel sammenfatning af Persondataforordningen kunne lyde således:
Den registrerede accepterer at “låne” sine persondata ud til den dataansvarlige på baggrund af et til alle tider korrekt oplyst formål, og den dataansvarlige skal kvittere for tilliden ved at passe godt på dataene og ved at kunne dokumentere, at der passes godt på dataene. Den registrerede skal altid kunne trække sit “lån” af persondata tilbage, og den dataansvarlige skal kunne dokumentere, at dette er sket. Hvis et eller flere af disse punkter ikke overholdes, så vil Datatilsynet kunne udstede markante bøder til den dataansvarlige.

 

Fundamentet for Persondataforordningen er baseret på nogle grundlæggende principper, der kan opsummeres således:

    • Behandlingen af persondata skal være lovlig, retfærdig og gennemsigtig
    • Det skal udtrykkeligt være angivet, hvad behandlingens formål er, formålet skal være legitimt, og behandlingen må aldrig være uforenelig med det angivet formål
    • Personoplysninger skal være både tilstrækkelige og begrænset til det nødvendige i forhold til formålet
    • Personoplysninger skal være korrekte og om nødvendigt up to date.
    • Den tid personoplysninger opbevares skal begrænses til det nødvendige
    • Den dataansvarlige er ansvarlig for behandlingen

 

ITAGIL, DEN ANSVARLIGE DATABEHANDLER

Hos ITAGIL er vi vores opgave som IT-leverandør voksen og har gennem længere tid gået i dybden med Persondataforordnings elementer, og hvilke konkrete tiltag der skal til for at være afdækket. Vi har derfor løbende implementeret foranstaltninger i vores services, så de lever op til gældende standarder. Helt konkret har vi indgået et samarbejder med det anerkendte revisionshus PWC med henblik på at modtage en ISAE 3402-erklæring, der blåstempler vores metodik, i de processer vi udfører i forbindelse med eksempelvis hosting for vores kunder.

Når I vælger ITAGIL som samarbejdspartner i forbindelse med jeres IT, vil vi helt naturligt udføre forskellige services, hvor vi, ud fra en instruks fra jer, behandler personoplysninger på jeres vegne. Hvilket betyder, at vi sammen indgår i en relation, hvor ITAGIL er databehandler, og I er dataansvarlig. I Persondataforordningen er det et krav at der indgås en databehandleraftale i mellem databehandler og dataansvarlig, og det er ydermere den dataansvarliges (jeres) ansvar at en sådan aftale indgås. Hos ITAGIL har vi valgt at gøre det nemt for jer, så vi har i forbindelse med vores ISAE 3402-erklæring fra PWC også fået udarbejdet en databehandleraftale, som kommer til at danne et minimums aftalegrundlag for vores samarbejde. Ved ”minimums aftalegrundlag” skal det forstås, at det naturligvis vil være muligt at udvide og skærpe vores standard databehandleraftale, hvis I skulle have et sådan behov.

Men en ting er, hvad ITAGIL har implementeret for fortsat at være en seriøs IT-leverandør efter d. 25. maj. Noget andet er, hvad I som virksomhed, skal have på plads for generelt at overholde Persondataforordningen, og hvilken proces I skal igennem for at nå der til. Som den ansvarlige databehandler vil ITAGIL gerne hjælpe jer på vej. Nedenstående er udarbejdet for at motivere denne proces og for at give jer en fornemmelse af omfanget samt et overordnet overblik over, hvor langt I er nået.

 

AT BLIVE COMPLIANT

Afhængig af art og omfang af de personoplysninger som en virksomhed eller offentlig myndighed behandler, samt formål hermed, kan det være en ganske stor opgave at sikre, at reglerne i Forordningen overholdes. Sanktionerne ved manglende overholdelse vil, som sagt, være langt skrappere, end vi har været vant til i Danmark. Hertil kommer den negative offentlige omtale en sådan sag risikerer at føre med sig, samt den mulige påvirkning af den daglige drift, f.eks. fordi det viser sig nødvendigt at ophøre med at behandle bestemte oplysninger, at ophøre med at bruge bestemte databehandlere, da de eksempelvis ikke har en ISAE 3402-erklæringen, eller at foretage ændringer i allerede etablerede sikkerhedsforanstaltninger.

Opgaven med at sikre overholdelse af Persondataforordningen er dermed ikke bare omfattende og vanskelig, den er for mange virksomheder forretningskritisk. Derfor er det itagil’s anbefaling, at virksomheder bør gøre følgende:

    • Starte compliance processen op så hurtig som muligt
    • Afsætte de fornødne ressourcer til opgaven
    • Sørge for at projektet har ledelsens bevågenhed og opbakning

 

TJEKLISTEN – HAR DU STYR PÅ PERSONDATAFORORDNINGEN?

Download GDPR tjeklisten og se, hvor mange spørgsmål I kan svare JA til, så I kan få et overordnet overblik over, hvor langt I som virksomhed er nået i processen med at overholde Persondataforordningen.
Link:  gdpr_tjeklisten.pdf

 

 

 

SÅDAN KOMMER DU VIDERE MED PERSONDATAFORORDNINGEN

Hvis I har brug for rådgivning i forbindelse med at sikre overholdelse af Persondataforordningen, vil vi meget gerne tage et uforpligtende møde med jer, hvor vi kan fortælle mere om, hvordan ITAGIL kan hjælpe netop jeres virksomhed i denne proces. Ring til os på +45 7026 1617 for en snak om din virksomheds muligheder – eller send os en mail på kontakt@itagil.dk

 

Vi er stolte over vores certificeringer og tildelinger, som vi arbejder hårdt for at opnå hver eneste dag, så du er sikker på, at vores løsninger altid lever op til de høje kvalitets- og sikkerhedskrav, der er påkrævet.