Har du tjek på EU’s nye persondata-regler?

EU har for nylig vedtaget en gennemgående reform af europæiske borgeres rettigheder vedrørende beskyttelse af personlige oplysninger, der afgives til virksomheder på nettet. Og du har rigtig god grund til at sikre dig, at din virksomhed overholder de nye regler.

Ifølge EU-forordningen som træder i kraft 1. januar 2018 kommer det nemlig til at koste op mod 20 mio. euro eller 4 pct. af hele den globale koncernomsætning, hvis ikke din virksomhed håndterer persondata lovligt – så det er med at komme i gang.

For at skabe overblik over de områder af din forretning, som påvirkes af den nye lovgivning, bør din virksomhed lige nu gennemføre en såkaldt privacy audit. En privacy audit klarlægger din virksomheds compliance- og risikoniveau i behandling af virksomhedens persondata, og vil typisk indeholde en analyse og vurdering af:

  • IT-sikkerhed.
  • Privacy-politikker og procedurer.
  • Overførsel af persondata til ikke-sikre lande udenfor EU.
  • Overholdelse af den kommende persondataforordning.
  • Sikring af nødvendige tilladelser hos Datatilsynet.
  • Behandling af persondata og HR-data i organisationen, hjemmesider, apps mv.
  • Sikring af nødvendige databehandleraftaler.
  • Sikring af underleverandørers behandling af persondata.
  • Vurdering af de underliggende processer, der varetager persondata.

Det forventes, at det særligt er de såkaldte databehandleraftaler, som vil være i fokus i den nye forordning. Inspektionen kan derfor indeholde en undersøgelse af, om din organisation har indgået de lovpligtige databehandleraftaler med underleverandører, f.eks. ved outsourcing af HR- eller it-opgaver eller anden brug af eksterne underleverandører, hvor virksomheden som dataansvarlig overlader personoplysninger til en ekstern databehandler.

Datatilsynet har for nyligt offentliggjort en kritik af en organisation, som ikke havde styr på de krævede databehandleraftaler med underleverandører. Desuden overtrådte organisationen reglerne om logning og begrænsning af adgang til personoplysninger.

Få styr på aftalerne

Din virksomhed skal derfor lige nu sikre sig, at de nødvendige databehandleraftaler indgås med underleverandørerne i overensstemmelse med persondatalovens regler. Det betyder, at din virksomhed som dataansvarlig skal indgå en skriftlig aftale med databehandleren.

Databehandleraftalen skal indeholde bestemmelser om, at underleverandøren som databehandler kun handler efter instruks fra den dataansvarlige.

Endelig har Datatilsynet med virkning fra 1. januar 2016 skærpet kravene til tilladelse til personaleadministration i private virksomheder. For at få tilladelse fra Datatilsynet kræver det, at din virksomhed overholder følgende 12 krav:

  • Beskriv beskyttelsen.
  • Begrænsning af adgang til oplysninger.
  • Instruktion og oplæring.
  • Krav om aflåst opbevaring.
  • Adgangskoder.
  • Registrering af forgæves forsøg på adgang.
  • Særlige forhold vedr. USB-nøgler.
  • Firewall og viruskontrol.
  • Kryptering, hvis der bruges hjemmesideformularer med følsomme oplysninger og personnummer.
  • Kryptering hvis følsomme oplysninger og personnummer sendes via e-mail.
  • Reparation og service af dataudstyr.
  • Skriftlig databehandleraftale hvis der bruges ekstern databehandler.

Hvis du har brug for rådgivning eller hjælp i forbindelse med de nye regler, skal du være velkommen til at kontakte FP Consultants for et uforpligtende tilbud.

2017-05-24T14:16:06+00:00

Relaterede artikler