20
Apr
”Administrativt monster” beskytter os alle

Af seniorkonsulent, registreret revisor Christian Damsgaard

Er den nye lov om håndtering af persondata et “administrativt monster” eller et godt initiativ? Uanset hvad skal den overholdes – læs med og bliv klogere på, hvordan din virksomhed konkret gør dette. Deltag også i et af vores arrangementer på enten Fyn, Sjælland eller i Jylland, som vil gøre dig i stand til at gå direkte hjem bagefter og påbegynde tilpasningen til de nye regler.

Nogen vil mene, at den nye persondataforordning, som træder i kraft den 25. maj 2018, er et nyt administrativt monster for virksomhederne. Men nej, det er blot modernisering af en lovgivning, som er mere end 20 år gammel. Og moderniseringen er sket for at styrke beskyttelsen af det enkelte menneskes personoplysninger. Igennem de senere år har der været en lang række sager, hvor virksomheder og offentlige institutioner ved en fejl eller pga. hackerangreb har offentliggjort personfølsomme oplysninger. Vi vil alle gerne undgå, at vores egne personlige oplysninger bliver frit tilgængelige eller i værste fald, at vores digitale identitet bliver stjålet – og det er det, som persondataforordningen skal hjælpe med at sikre.

Herunder kan du læse om, hvad din virksomhed konkret kan gøre for at overholde de nye regler om håndtering af personoplysninger.

Sådan kommer din virksomhed i gang med at overholde de nye regler
At komme i gang med at overholde de nye regler er ikke kun en administrativ opgave. Personoplysninger er – ifølge den nye persondataforordning – ”enhver form for information, der gør en person fysisk identificerbar”. Virksomheden ligger hermed også inde med personoplysninger uden for kontoret, og det er derfor nødvendigt at inddrage alle afdelinger i virksomheden, når virksomheden skal rette ind efter de nye regler.

Start med at gøre følgende ting:

  • Udpeg en tovholder på ”projekt tilpas-virksomheden-de-nye-regler”. Denne person skal sikre, at forholdene i virksomheden er skriftligt beskrevet og dokumenteret, som de nye regler kræver, ligesom personen kan være med til at sikre struktur og overblik hele tilpasningsprocessen igennem.
  • Saml virksomhedens beslutningstagere og nøglemedarbejdere til et møde, hvor de bliver informeret om de nye regler. Husk, at de fleste medarbejdere i en virksomhed er i berøring med personoplysninger på den ene eller anden måde – og at det er vigtigt, at alle medarbejdere kender de nye regler, så de fremover kan overholde dem i deres daglige omgang med persondata. Ellers kan det koste virksomheden bøder. Hos Patriotisk Selskab kan vi tilbyde at afholde et 2-timers orienteringsmøde i din virksomhed. Vores erfaring er, at orienteringsmødet giver virksomhedens medarbejdere en god forståelse af de nye regler. Derudover giver det virksomheden nogle konkrete redskaber til at tilpasse sig de nye regler. Kontakt vores persondatateam bestående af sekretariatschef Marianne Neumann og Christian Damsgaard, hvis du er interesseret.
  • Detektér, hvilke personoplysninger virksomheden ligger inde med, hvor de ligger og hvordan de bruges. Det kan virke uoverskueligt, men i princippet er det enkelt – dog også tidskrævende. Vi kan anbefale, at processen deles op i mindre bidder, fx pr. afdeling. Man kan nå langt med post-it-sedler; én type personoplysninger pr. post-it. Herefter kan det skrives ind i et skema, hvordan de enkelte typer personoplysninger bruges i virksomheden, hvem der bruger dem, hvorfor de bruges og hvor de opbevares. Et flowdiagram kan også give et godt overblik.

 

Må din virksomhed opbevare de personoplysninger, som den gør?
Når virksomheden har identificeret de forskellige personoplysninger, skal det vurderes, om der også er retligt grundlag for at opbevare og bruge dem. Begrundelsen for at opbevare personoplysninger er, at det er nødvendigt og ikke, at det bare er nemt og belejligt. Virksomheden skal derfor skriftligt beskrive, hvorfor det er nødvendigt at have de oplysninger, som den har. Eksempelvis er CPR-nummer en yderst følsom personoplysning, men det er nødvendigt, for at virksomheden kan give en medarbejder løn og efterfølgende indberette det til SKAT.

Husk samtykke fra og information til de personer, som virksomheden har personoplysninger på
Det er nødvendigt at indhente utvetydigt skriftligt samtykke fra de personer, som virksomheden har personoplysninger på. Derudover skal virksomheden – på opfordring fra en registreret person – skriftligt kunne oplyse, hvilke personoplysninger de har på personen.

Hvad er kravene til sikkerheden omkring personoplysninger?
Din virksomhed skal forholde sig til, hvor sikkert personoplysningerne opbevares, og om de er beskyttet mod uretmæssigt brug – både hvad angår personoplysninger digitalt og i papirform.

Personoplysninger opbevaret i papirform skal være i et aflåst skab, hvor kun de nødvendige personer har adgang. Digitalt opbevarede personoplysninger kan sikres med adgangskoder, hvor også kun de nødvendige personer har adgang. Ofte skal også en ekstern part have adgang til de digitale personoplysninger – det kan fx være det IT-firma, som servicerer virksomhedens IT, det firma, som yder lønservice eller det firma, hvor virksomheden opbevarer backup af sin IT (backup i skyen). Din virksomhed skal i sådanne tilfælde kunne dokumentere, at den eksterne samarbejdspartner overholder de nye regler.

Hvis der sker et sikkerhedsbrud i virksomheden, fx et hackerangreb, skal virksomheden inden for 72 timer anmelde det til Datatilsynet, som er tilsynsmyndighed. Det skal i anmeldelsen beskrives, hvad der er sket, hvad konsekvenserne er og hvilke foranstaltninger der er taget for at afhjælpe sikkerhedsbruddet. Derfor skal virksomheden have nogle klare beskrivelser af procedurerne i tilfælde af sikkerhedsbrud liggende.

Hvad er bøderisikoen?
Brud på persondataforordningen koster en bøde på mellem 0,5 og 4 procent af virksomhedens årlige globale omsætning – og hvis virksomheden til det første kontrolbesøg ikke har gjort noget overhovedet for at tilpasse sig de nye regler, er det helt sikkert, at det vil udløse en bøde tættere på de 4 end de 0,5 procent. 4 procent svarer for mange virksomheder til mere end overskuddet, og en bøde af den størrelse vil derfor økonomisk gøre meget ondt.

Der er endnu ingen, som i detaljer kender omfanget af de nye regler og Datatilsynets håndhævelse. Men vi ved, at myndighederne til efteråret vil køre nogle kampagner, som bl.a. vil rette sig mod borgerne, så den enkelte privatperson får indsigt i sine rettigheder. Dette vil helt sikkert skabe et fokus på virksomheders forpligtigelse til at håndtere persondata forsvarligt.

Skynd dig at komme i gang
Vi kan kun anbefale alle virksomheder straks at gå i gang med at tilpasse deres virksomhed til de nye regler, da det tager lang tid – og det desuden kan være en udfordring at danne sig et overblik og holde struktur hele tilpasningsprocessen igennem.

Patriotisk Selskab hjælper din virksomhed i gang
Det er en stor fordel, hvis opgaven fra start planlægges godt. Det kan vi hjælpe med hos Patriotisk Selskab – kontakt teamleder Kristina Rohani, sekretariatschef Marianne Neumann eller Christian Damsgaard. Derudover afholder vi i maj tre arrangementer, som hjælper dig godt i gang:

 

Nyttige links

Sådan bærer Hverringe Gods sig ad med at tilpasse sig de nye regler om håndtering af persondata

Kort artikel, der giver et indblik i de primære regelændringer

Sådan håndterer du “det nye, administrative monster”

Datatilsynets 12 spørgsmål, du som dataansvarlig bør forholde dig til allerede nu