Sådan bliver din virksomhed klar til den nye persondatalov

Om et halvt år træder EU’s nye persondataforordning i kraft. For mange virksomheder er det en stor opgave at få overblik og system i de mange persondata. To eksperter give gode råd til, hvordan det bedst gribes an.

Artiklens øverste billede
Internationale standarder er et vigtigt værktøj, der kan hjælpe virksomheder med at få styr på deres persondata og bevare overblikket, når EU’s nye persondataforordning træder i kraft til maj. Foto: MOSTPHOTOS
Denne artikel er sponsoreret af

Den 25. maj 2018 træder EU’s nye persondataforordning i kraft. Danske virksomheder har altså kun nogle få måneder til at få styr på de persondata, de har liggende om eksempelvis medarbejdere og kunder.

”Ingen ved, hvor alvorligt Datatilsynet vil gå til virksomhederne efter 25. maj næste år, og derfor er det både spændende og skræmmende,” siger Niels Christian Døcker, advokat med speciale i persondataret og partner i BACH Advokater.

 

Niels Christian Døcker, der er advokat med speciale i persondataret forventer ikke, at Datatilsynet vil lade hammeren falde hårdt ved første forseelse.

Han påpeger, at en vigtig årsag til, at persondataforordningen har fået så stor opmærksomhed i Danmark, er bødestørrelsen. Ved overtrædelser kan der nemlig gives bøder på op til 20 mio. euro eller op til 4 procent af koncernens årsomsætning, hvis denne er højere.

”Bødestørrelsen har ikke haft samme chokeffekt i andre EU-lande. I Italien er der allerede givet bøder på op til 5,8 mio. euro for at overtræde det nuværende persondatadirektiv fra 1995, mens den største bøde, der er givet i Danmark, er på 25.000 kr.”

”Bødeniveauet herhjemme har været utroligt lavt i forhold til andre EU-lande, og derfor virker det ekstra chokerende på danske virksomheder,” siger Niels Christian Døcker, der dog ikke forventer, at Datatilsynet vil lade hammeren falde hårdt med det samme.

”Med mindre overtrædelsen er særligt grov i forhold til omfang eller varighed, er mit gæt, at der vil blive givet et gult kort med en kort tidshorisont til at få rettet op på problemet, for den mulighed giver persondataforordningen. Men det handler selvfølgelig om at gøre sit forarbejde, så man kan dokumentere, at man tager persondataforordningen alvorligt. For eksempel er det smart at lave en compliance manual som supplement til personalehåndbogen,” siger han og konstaterer:

”Mange virksomheder står over for en forårsrengøring i deres processer. Vi taler oprydning fra kælder til kvist, så det er en stor opgave, hvis det skal gøres rigtigt.”

 

Ifølge chefkonsulent Anders Linde fra Dansk Standard er der forretningsmæssige fordele at hente for de virksomheder, der har system i deres data.

Et af de værktøjer, der kan hjælpe virksomheder med at få styr på processerne omkring persondata, er standarden ISO/IEC 27001.

”Helt konkret er det en god idé at kigge på: Hvilke persondata har vi liggende? Hvor opbevarer vi dem? Er vi dataansvarlige eller databehandlere? Hvad er formålet med, at vi har disse data? Kan vi fremover begrænse mængden af persondata? Alle virksomheder – store som små – må igennem den øvelse,” lyder det fra Dansk Standards chefkonsulent Anders Linde.

Ifølge loven skal virksomheder med over 250 ansatte udarbejde en skriftlig fortegnelse over deres persondata, mens mindre virksomheder ikke behøver en nedskrevet liste.

”Det er en øvelse, der involverer hele virksomheden, for alle afdelinger skal informeres om, hvad persondata er, så ledelsen klædes bedst muligt på. Den juridiske bistand skal gøre det klart, hvad organisationen må og ikke må. IT-afdelingen skal synliggøre datas behandling i og uden for organisationen og tilpasse it-systemerne til at varetage de registreredes rettigheder. HR-afdelingen ligger inde med følsomme persondata og skal være ekstra opmærksomme. Og ledelsen har til opgave at samle et team, der kan sikre, at man kommer ud i alle kroge af virksomheden,” siger han.

 

Gælder små og store virksomheder

Det er især den offentlige sektor, der har mange persondata og følsomme oplysninger liggende i form af sundhedsdata, politisk og religiøs overbevisning, sociale problemer og lignende. Men også små og mellemstore virksomheder skal have styr på deres kundedata.

Hvis en kosmetolog for eksempel beder kunder svare på, om de har allergier, og hvor stressede de føler sig, skal virksomheden være opmærksom på, at det er følsomme oplysninger, som ikke må opbevares og behandles uden kundens samtykke.

”Jeg tror ikke, virksomheder vil blive mere tilbageholdende med at indsamle persondata, men de bliver forhåbentlig mere bevidste om, hvordan de behandler dem. Allerede ifølge den nugældende lov må de ikke opbevare persondata længere end formålet tilsiger, men fremover vil en overtrædelse gøre mere ondt,” vurderer Niels Christian Døcker.

Det betyder eksempelvis, at når en medarbejder stopper, må virksomheden ikke gemme ansættelsespapirerne længere end nødvendigt. Ligesom uopfordrede ansøgninger skal destrueres efter et aftalt tidsrum.

 

Ikke projekt, men proces

”At få styr på sine persondata er ikke et projekt, der afsluttes til foråret, men en fortsat proces, der aldrig stopper,” siger Anders Linde, der minder virksomhederne om, at det også medfører klare fordele.

”Jeg er overbevist om, at den øgede opmærksomhed på persondata flytter danske virksomheder op på et nyt modenhedsniveau i forhold til at beskytte informationer, og det er attraktivt for forretningen.”

Han fremhæver blandt andet, at det vil påvirke virksomhedens omdømme positivt, at kunderne kan have tillid til, at deres persondata er beskyttet.

”Det medfører også en effektivisering at lære, hvor man er sårbar, og hvor man klogest investerer i informationssikkerhed. Man kan ikke gøre alt, så det handler om at bruge sin ressourcer bedst muligt – og at kunne dokumentere, at man har gjort, hvad man kan,” siger Anders Linde.

Han opfordrer virksomhederne til at holde sig orienteret på dbreform.dk, hvor Datatilsynet løbende lægger vejledninger op.
Læs mere om informationssikkerhed her

Mere som dette

Andre læser

Mest læste

Del artiklen

Giv adgang til en ven

Hver måned kan du give adgang til 5 låste artikler.
Du har givet 0 ud af 0 låste artikler.

Giv artiklen via:

Modtageren kan frit læse artiklen uden at logge ind.

Du kan ikke give flere artikler

Næste kalendermåned kan du give adgang til 5 nye artikler.

Teknisk fejl

Artiklen kunne ikke gives videre grundet en teknisk fejl.

Ingen internetforbindelse

Artiklen kunne ikke gives videre grundet manglende internetforbindelse.

Denne funktion kræver Digital+

Med et Digital+ abonnement kan du give adgang til 5 låste artikler om måneden.

ALLEREDE ABONNENT?  LOG IND

Denne funktion kræver Digital+

Med et Digital+ abonnement kan du lave din egen læseliste og læse artiklerne, når det passer dig.

Teknisk fejl

Artiklen kunne ikke tilføjes til læstelisten, grundet en teknisk fejl.

Forsøg igen senere.