Der er nu gået noget tid siden 25. maj 2018. Datatilsynet har meldt lidt mere klart ud, hvordan vi skal forholde os til de nye regler. Vi har også fået vejledningerne færdig fra Datatilsynet. Endelig er der høstet en del erfaring fra konkrete sager. Det er derfor på tide at give dig en kort status over de væsentligste udfordringer, der endnu ligger forude, nemlig bødeniveau, risikovurdering og drift af databehandleraftaler.

Det vigtigste først: Hvad koster en overtrædelse for virksomheden?

Vi ved det ikke endnu. Alt mellem flere hundrede millioner kroner, som i den franske Google-sag, hvor Google fik et rap over næsen for at anvende ulovlige samtykker, til lige knap 35.000 kr. for ikke at have en databehandleraftale på plads. Og så er det ikke sikkert, at de afgørelser er endelige. De skal først gennem det pågældende EU-lands domstolssystem.

Mange glemmer risikovurderingen

Det er vores indtryk, at mange virksomheder ikke har skrevet sin risikovurdering ned. I samtlige sager, vi har behandlet, spørger Datatilsynet ellers rutinemæssigt efter din risikovurdering.

En risikovurdering kan kaldes mange ting, herunder it-sikkerhedspolitik, it-sikkerhedshåndbog eller it-vejledning. Navnet er mindre relevant, det er indholdet, der er afgørende.

Risikovurderingen skal indeholde en oversigt over, hvad det er for personoplysninger, der behandles, hvor slemt det vil være for den registrerede, hvis de lækkes, og hvordan du som virksomhed vil beskytte dem.

Forordningen har således ikke fokus på at afbøde risici for din virksomheds aktiver/værdier, men derimod udelukkende fokus på at sænke risikoniveauet for fysiske personers rettigheder og frihedsrettigheder.

Udgangspunktet er således, at behandling af personoplysninger, er forbundet med risici for fysiske personer (de registrerede). Princippet er herefter, at du under selve udformningen og under iværksættelsen af en behandling skal etableres et sikkerhedsniveau, som imødegår disse risici ved hjælp af passende tekniske og organisatoriske foranstaltninger.

De konsekvenser, der kan være for de registrerede, og som følgelig skal indgå i din risikovurdering, er især (men ikke udelukkende): Fysisk skade, materiel skade, immateriel skade, forskelsbehandling, identitetstyveri og Identitetssvig.

Sådan arbejder du med din risikovurdering

Den svære del af arbejdet med risikovurderingen kommer, når du har udarbejdet den, for risikovurderingen skal udgøre grundstenen i, hvordan din virksomhed arbejder med såkaldte den risikobaserede metode.

Meningen er, at din virksomhed til enhver tid skal være klar over, hvilke persondatabehandlinger der skal foretages (lønudbetaling, rekruttering, afholdelse af mus-samtaler, e-mailkommunikation, kunderegister mv.), og hvordan du vil sikre, at det ikke går galt med sikkerheden.

Det er ikke al behandling, der kræver samme høje niveau af sikkerhed. Omvendt er det vigtigt, at du beskytter de mest risikofyldte behandlinger.

Når du går i gang med nye behandlinger eller ændrer væsentligt i eksisterende, skal du derfor også opdatere din risikovurdering forud for den nye behandling eller ændring, så du hele tiden sørger for, at sikkerheden er på plads.

Risikovurderingen og databehandleraftalerne: Drift af databehandleraftalerne

Den sværeste del af arbejdet med den risikobaserede tilgang kommer, når risikovurderingens konklusioner, det vil sige de valg af tekniske foranstaltninger, der er foretaget, skal bygges ind i databehandleraftalerne.

I Datatilsynets databehandleraftaleskabelon er det i bilag C, du skal sætte valgene fra risikovurderingen ind under punkt c.2. På den måde sikrer du, at også dine databehandlere følger valgene i din risikovurdering.

Reelt set er denne del særdeles praktisk vanskelig, da de fleste databehandlere helst opererer med én databehandleraftale og derfor ønsker de ikke at gøre den kundespecifik. Det er blot ikke lovens indretning.

250 sager på vej i 2019

I hvert fald 250 større sager bliver afgjort i 2019. Samtidig kommer Datatilsynet løbende med nye vejledninger. Mange steder vil det derfor fortsat kræver ekstra opmærksomhed at leve op til databeskyttelsesreglerne.

Profil af Jacob

Hvis du vil vide mere, så kontakt meget gerne Jacob Naur

Telefon: (+45) 6144 0707
Mail: jgn@hvlaw.dk