Et år til EU’s persondataforordning træder i kraft. Er du klar?

Persondataforordningen træder i kraft d. 25. maj 2018

Med præcis et år til EU’s nye persondataforordning (GDPR) træder i kraft, er det relevant at forholde sig til, om din virksomhed er parat til de nye udfordringer. Og til de eksisterende udfordringer, for den sags skyld.

Få det nu fixet…

Man fristes til at citere et irriterende reklameslogan, men det er virkelig tid til at få det fixet. Og det er samtidig tid til selvransagelse. Rigtig mange virksomheder overholder nemlig ikke engang den nuværende Persondatalov. Det må derfor være en rigtig god anledning til én gang for alle at få styr på datasikkerheden og generelt at få struktur på processer og rutiner relateret til persondata – specielt de personfølsomme af slagsen. Vi har samlet en lille liste af relevante spørgsmål, som du bør forholde dig til lige nu. Der er under et år til det går løs.

  1. Har du styr på dine databehandleraftaler? Med dataleverandører? Med cloud-leverandører? Med servicebureauer? Og hvad med underdatabehandlere – har du styr på hele fødekæden? Det er gældende lovgivning, og derfor noget du skal have 100 % styr på allerede i dag inden kravene skærpes yderligere.
  2. Hvordan dokumenterer du dine dataflows i dag? Forordningen kommer til at stille meget større krav til dokumentation og sporbarhed i forhold til fx hvor data stammer fra og hvordan deres flow er igennem forskellige leverandørled og systemer.
  3. Hvordan opfylder du den registreredes rettigheder i dag? Med gældende lovgivning har den registrerede person en lang række rettigheder som skal respekteres. Fx retten til at få indsigt i sine oplysninger – eller til at få dem slettet. Forordningen udvider disse rettigheder til også at omfatte dataportabilitet – retten til at få flyttet sine persondata fra en leverandør til en anden, fx fra ét socialt medie til et andet. Det skal du forberede dine systemer på at kunne efterleve.
  4. Kan du påvise at din – og dine databehandleres – databehandling er i overensstemmelse med forordningen? Det stigende dokumentationskrav udløser desuden behov for kontroller og konkrete beviser på at der er styr på processer og systemer. Revisorerklæringer af typerne ISAE 3402 (IT) og ISAE 3000 (persondatalov) vil være stærkt anbefalelsesværdige – og for mange virksomheder en ren og skær nødvendighed om et år. Det bør du desuden kræve af dine databehandlere.
  5. Hvad vil du gøre, hvis der sker et brud på datasikkerheden? Med forordningen træder en ny bestemmelse i kraft hvor alle brud skal dokumenteres og samtidig indberettes til Datatilsynet inden 72 timer. Men hvad gør du rent praktisk? Har du ikke allerede udarbejdet en beredskabsplan, så er det på tide! Det er kun et spørgsmål om tid hvornår et databrud rammer din virksomhed. Start med en grundlæggende risikoanalyse.

Ovenstående er kun en vilkårlig liste af eksempler på spørgsmål du skal forholde dig til. Datatilsynet udgav sidste år en tjekliste med 12 forberedende spørgsmål. Dem bør du læse igennem igen nu – og sikre dig, at du kan svare på dem alle.

Betænkning, nationale vejledninger – og masser af seminarer

For godt en uge siden – præcis et år før forordningen træder i kraft – udkom Justitsministeriets betænkning om implementeringen af EU’s persondataforordning. Det er et digert værk på over 1.000 sider hvis formål er at sikre forordningens konkrete gennemførelse i dansk ret – herunder indførelse og opretholdelse af eventuelle danske særregler.

Til september udgives en generel dansk informationspjece om GDPR – og i månederne efter følger de længe ventede nationale vejledninger inden for konkrete områder som fx ’samtykke’, ’databeskyttelsesrådgiver (DPO)’, ’dataansvarlige vs. databehandlere’, ’den registreredes rettigheder’ samt ’håndtering af brud på datasikkerheden’.

Forordningen og dens betydning for danske virksomheder har i det forløbne år været et af de hotteste emner hos kursusvirksomheder og advokatkontorer med speciale i persondataret. Hen over sommeren og efteråret afholdes endnu en endeløs række af seminarer og konferencer over emnet. Men vi anbefaler på det kraftigste at du holder dig orienteret – og deltager. Mange arrangementer er desuden gratis, hvis din virksomhed er medlem af en erhvervsorganisation – fx Dansk Erhverv.

Har du brug for rådgivning, eller en snak om hvordan du griber det hele an, så kontakt Henrik Hobel på hh@ambition.dk eller på tlf: 21913949.

RING MIG OP

– og lad os tage en helt uforpligtende dialog om datadreven forretningsudvikling og datadreven markedsføring.

Du kan også give os et kald på
+45 70 20 30 24

0 svar

Skriv en kommentar

Want to join the discussion?
Feel free to contribute!

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *