Den 25. maj i år kan være startskuddet på en ny type hackerangreb i virksomheder. Ifølge advokat Jon Lauritzen, DELACOUR, er hackere klar til at bryde ind i virksomheder for at se, om de lever op til den ny forordning. Hvis de ikke gør det, vil de afpresse virksomhederne for et beløb, der er lidt mindre end de kæmpebøder, der er udsigt til, hvis de sladrer til myndighederne (op til 4 pct. af globalomsætningen).

Men ikke kun kriminelle kan tænkes at bryde ind i virksomheder. Det gælder også aktivister, som er klar til at afsløre, om virksomhederne har orden i sagerne. Herefter overlades det til forbrugere og myndighed at straffe virksomheder på omdømme og pengepung. Jon Lauritzen opfordrer virksomhederne til at have orden i tingene. Den gode nyhed er, at langt de fleste af reglerne om behandling af personoplysninger har været kendt i 17 år. Den dårlige nyhed er, at de fleste danske virksomheder ikke overholder dem.

Nye regler
Det nye i regelsættet er, at virksomhederne skal kunne dokumentere, hvordan de opbevarer og behandler personoplysninger. Og slette de oplysninger som der ikke mere er behov for. Dertil kommer en række mere formelle krav til politikker, oplysningspligter, krav om databehandleraftaler mv.

Kilde:

Indholdet ovenfor er uddrag af artikel i Børsen den 17. maj 2018.

Relevante kurser og netværk:

• Persondataforordningen – implementering af persondatasikkerhed
• Persondataforordningen – dokumentationskrav og regler
• Relateret netværk: Persondata – implementering af persondataforordningen

Økonomi & Personale Academy har haft mere end 1.000 deltagere på kursus i GDPR (persondataforordningen). Vi har spurgt et bredt udsnit af deltagerne, hvor de ser de største udfordringer i forhold til den ny forordning.

Der er tre udfordringer, som går igen:

• At få klarhed over hvilke opgaver virksomheden bør prioritere frem til den 25. maj 2018, hvor reglerne træder ikraft
• At få klarhed over de organisatoriske udfordringer, der ligger i at få ændret virksomhedens kultur omkring behandlingen af persondata
• Generelt at få nedbragt risikoen for fejlhåndtering af persondata

Vi har talt med vores persondataspecialist advokat Jon Lauritzen, DELACOUR, omkring ovenstående, som giver følgende svar.

Prioritering af opgaver frem til den 25. maj 2018:

Ingen virksomheder er ens. Det betyder, at virksomhederne, i forhold til persondata, først og fremmest bør afklare deres ”risiko”. Behandler virksomheden f.eks. følsomme persondata, er det vigtigt, at man er opmærksom på de skærpede behandlingsregler, der her gælder. Jeg vil dog driste mig til at fremhæve følgende liste over opgaver, som bør indgå i en ”prioriteret 25. maj 2018 liste” og som bl.a. baseres på datatilsynets forventede kontroller i virksomheder:

1. Få udpeget en ansvarlig for implementering af persondataforordningen
2. Få styr på virksomhedens databehandlere og få behandleraftalerne på plads. Der er foretaget store ændringer af reglerne og det er nødvendigt at opdatere alle databehandleraftaler inden 25. maj.
3. Få styr på hvor i organisationen/virksomheden, der behandles personoplysninger, således at de skærpede regler om oplysningspligt kan overholdes.
4. Få styr på den fysiske, organisatoriske og IT–mæssige sikkerhed og beskriv den
5. Få styr på det lovlige grundlag for at behandle personoplysninger. Virksomheden skal kunne redegøre for lovhjemlem for enhver behandling af personoplysninger
6. Få styr på behandlingsaktiviteterne af HR-oplysninger/personaleoplysninger og beskriv dem (og husk oplysningspligten også gælder for medarbejdere)
7. Få tilrettelagt en uddannelsesplan for efteruddannelse af virksomhedens medarbejdere, som er i berøring med persondata – fra receptionist til topledelsen

De organisatoriske udfordringer og kulturen omkring behandlingen af persondata:

I 50´erne og 60´erne, var det normal praksis, at giftstoffer blev hældt direkte i åer og vandløb. Vi kan i dag se, at det nok ikke var nogen god idé. På samme måde, tror jeg, den opvoksende generation, om få år, vil tænke omkring den måde om den måde, som vi i dag omgås persondata. Også med tanke på de skader, der allerede kan konstateres i forhold til brugen og misbrugen af persondata i ”facebook-gate”. Jeg har en tro på, at virksomhederne – store som små, private og offentlige – vil ændre adfærd i forhold til håndtering af persondata. Man skal tænke på, at personoplysninger, er noget som virksomheden har fået stillet til rådighed, og derfor også har en pligt til at værne om. Når der ikke længere, er et sagligt grundlag for at behandle disse data, skal de slettes eller leveres tilbage til den registrede. Det kan synes enkelt, men i praksis en opgave, som er svær at løfte. Enhver virksomhed kunne starte med at lære de ansatte de 6 grundprincipper, som forordningen bygger på (jf. artikel 5 om gennemsigtighed, dataminimering, lovgrundlag for behandling mv.). Der er tale om grundprincipper – som selvfølgelig ikke kan stå alene – men som giver en god fornemmelse af hvordan ansatte bør tænke i forhold til behandlingen af persondata.

Om at få nedbragt risikoen for fejlhåndtering af persondata:      

Uddannelse, uddannelse, uddannelse. Det handler om at forankre viden om behandling af persondata i virksomheden og ikke forledes til at tro, at opgaven alene kan klares af eksterne konsulenter. Konsulenter kan komme på banen i den proces, der skal igangsættes i arbejdet med at blive ”compliante”, men overholdelse af persondatareglerne skal indarbejdes i måden af drive virksomhed på.

Relaterede kurser:

• Persondataforordningen – dokumentationskrav og regler
• Persondataforordningen – implementering af persondatasikkerhed
• Persondata – i ansættelsesretten