Introduktion til GDPR

25. aug 2017
EUs nye persondataforordning GDPR skaber store forandringer. Vi har samlet de vigtigste pointer.
Thomas Palsbjørn Pedersen
Principal Business Consultant
GDPR

EU har vedtaget en ny forordning, som træder i kraft 25. maj 2018 kaldet ”General Data Protection Regulation”. Den kommer til grundlæggende at ændre den måde vi behandler data, da der bl.a. pga. de nye beføjelser til datatilsynene og ikke mindst bødestørrelserne omsider kommer fokus på at vores data skal behandles ordentligt.

Det betyder, at der kommer krav om at man dokumenterer hvor man opbevarer persondata, og hvordan disse bliver behandlet (se vores overordnede informationsartikel om GDPR for et godt bud på, hvordan I kommer i mål) I bund og grund er der ikke så meget nyt (i hvert fald ikke hvis alle havde fortolket loven ens og efterlevet den), men der kommer til at være et helt andet fokus og et helt andet krav om dokumentation. I virkeligheden kan det formuleres sådan, at behandlingen af data skal være rimelig og stå mål med formålet, så man ikke længere bare må indsamle og behandle data, fordi det kunne være interessant.

I sammenhæng med den kommende eCommunication forordning kommer det formentlig til at ramme Facebook og Google på deres levebrød (selvom det i første omgang bliver aviserne osv. der vil blive ramt i deres mulighed for målrettet markedsføring), men også udenfor den verden kommer det til at have ret så omfattende implikationer i grænselandet mellem organisationer og mellem virksomheder og deres kunder.
Vi forventer, at det bliver nødvendigt at have en infrastruktur på plads, som indhenter samtykke fra samarbejdsorganisationers medarbejdere når man fx giver disse adgang til virksomhedens extranet. Det befinder sig i det fortolkningsmæssige grænseland, men generelt er det trods alt lettere at bede om samtykke end at rydde op efterfølgende.

En anden væsentlig forståelse, man er nødt til at have, er at der er tre forskellige klasser af persondata – de personhenførbare og de personfølsomme og ”specielle kategorier” (CPR-numre, straffeattester mm.). De personhenførbare er reelt alle data vedr. en person som kan identificeres på nogen som helst måde (fx er selv en IP-adresse nok). De personfølsomme er fx fagforeningstilhørsforhold, religiøs overbevisning osv., hvorimod de specielle er dem, som der er national lovgivning omkring, og som sagt indbefatter CPR-numre og straffeattester. Specielt vedr. sidstnævnte skal man altså være opmærksom på forskellige regler på tværs af EU’s medlemsstater.

Forskellen på de to første klasser er, at det er tilladt at have personhenførbare data, hvis det lever op til en rimelighedsbetragtning eller hvis man har fået lov af personen til at opbevare dem (og det i øvrigt er frivilligt), hvorimod de personfølsomme oplysninger er underlagt ekstra restriktive sikkerhedskrav og eksplicitte begrænsninger i anvendelsen.

Andre områder man skal have forståelse for er begrænsningerne i 3. landsoverførsler. Det er i første omgang ikke noget udtalt problem for cloud-leverandørerne, da disse er baseret i USA, som (i hvert fald indtil septembers revision af ordningen) er dækket ind under Privacy Shield aftalen mellem EU og USA. Der vil dog være krav om, at der ikke anvendes support-organisationer i fx Indien, da dette land ikke har en aftale med EU. Til gengæld vil det have store implikationer, hvis man fx har et fælles HR system på tværs af en stor international organisation, som også strækker sig over ”ikke-godkendte tredjelande” – uanset om applikationen ”lever” i cloud eller on-premises. Det er altså meget vigtigt, at man får skabt sig en samlet forståelse af det setup man arbejder med, herunder at der laves klare aftaler med underleverandører, da det kan påvirke de privacy notices man skal vise og potentielt have godkendelse til fra hver enkel person i systemerne.

GDPR og Cloud

Som beskrevet ovenfor er der ikke eksplicitte problemer netop nu med anvendelsen af cloud-platformene, da det må forventes, at de anvender en standardiseret tilgang til sikkerhed. For Microsofts vedkommende betyder det, at der er tale om en række forskellige sikkerhedsstandarder, som bliver eksternt valideret og er anerkendte som basis for en god og sikker platform. Det betyder også, at der er en lang række ansatte som konstant monitorerer og arbejder på løbende forbedring af sikkerheden; noget som de færreste firmaer kan leve op til i egne installationer.

Til gengæld er der en række områder, hvor man som IT ansvarlig bør risikovurdere, om man tør basere sig på andre platforme end netop cloud, da kravene til en god og sikker installation kan være svære at leve op til internt; man står ikke længere ”bare” til regnskab overfor sig selv, men også overfor et validerende datatilsyn, som potentielt og i praksis kan lukke applikationer og servere, hvis ikke der vurderes at være risikovurderet og styret i tilstrækkelig grad.

ProActive tilbyder en række ydelser, som kan hjælpe jer godt på vej; specielt vedr. cloud som sikker platform, tilbyder vi en række ydelser, som kan inspirere jer til en tryg sikkerhedsimplementering.