EU Persondataforordningen
BLOG
DIGITAL

Blog: EU Persondataforordningen – din virkelighed om 710 dage

EU Persondataforordningen, der ventes vedtaget i 2016 med ikrafttræden i 2018, vil udfordre organisationer på flere niveauer:

[19. januar 2016]

  1. Organisatorisk
  2. Cybersecurity
  3. Systemdesign

Alle organisationer med mere end 250 ansatte skal udnævne en databeskyttelsesansvarlig, der får helt specielle ansættelsesvilkår. Dette krav gælder også mindre organisationer der har databehandling som kerneaktivitet. Den databeskyttelsesansvarlige skal sikre at organisationen overholder forordningens regler og skal underrette og rådgive ledelsen, overvåge gennemførelsen af de af ledelsens udstukne retningslinjer og kontrollere anmeldelser vedrørende sikkerhedsbrud. Alt sammen under strafansvar.

Der stilles ingen specifikke krav til cybersecurity, data skal være beskyttet hensigtsmæssigt i forhold til risikoen for, og konsekvenserne ved misbrug – og så skal det overvåges. Der gives også et incitament til at øge fokus på cybersecurity ved at indføre en anmeldelsespligt for samtlige cybersecurityhændelser. Anmeldelsen foretages til myndighederne såvel som de personer, hvis persondata har været berørt af hændelsen. I praksis er dette et meget strengt krav til cybersecurity – værktøjer, procedurer og kompetencer skal altså være gearet til ikke alene at identificere sikkerhedshændelser, men også at identificere de specifikke dataelementer der har været berørt af hændelsen. Hvis den sidste del af kravet skal være så praktisk muligt, stiller det krav til systemdesignet der ikke nødvendigvis er opfyldt for alle eksisterende systemer.

Kravene til systemdesign stopper dog ikke med det. Forordningen kræver at personen efter eget valg skal kunne blive ”glemt” og få alle sine egne data flyttet til en anden virksomhed eller blot få slettet alle sine egne data. At personen også får ret til at få indsigt i sine egne data opbevaret af en organisation vil være en bagatel, der kan løses sammen med implementeringen af de andre krav.

Et godt udgangspunkt for at håndtere kravene til systemdesign er, at sikre at masterdata håndteringen for persondata er hensigtsmæssig, dækker hele organisationen og er implementeret overalt uden mangler. En stor hjælp vil derudover være, at have et kort over systemlandskabet så det er muligt, at identificere de systemer der bliver berørt af et ønske om at overflytte en persons data til en anden organisation eller et ønske om at få slettet egne data.

Det er absolut ikke umuligt at opfylde de stillede krav, men for en del organisationer kan det blive en tidsmæssig udfordring at nå det inden 2018.

Men for at vise at de mener det alvorligt i EU forslår de at hæve bødegrænserne for overtrædelse af forordningen. Loftet over bøderne er sat til 1.000.000 € eller 2% af organisationens samlede globale omsætning – i visse tilfælde kan loftet være lidt lavere (½ eller ¼).

Incitamentet til at sikre implementeringen fejler ikke noget!

I en række blog-indlæg fremover vil vi skrive om de 3 indsatsområder, men du kan allerede nu finde beskrivelser af Capgemini ydelser, der kan hjælpe din virksomhed med at opfylde de kommende krav.

todo todo
  • Erik Haarh
    Erik Haahr
    Managing Consultant
    +45 52189364