Relateret indhold

Tina Juul Rasmussen    [ TEKST ] Henrik Frydhjær [ FOTO ]
Fagbladsartikel 13/11/2018 Detektiv i madspild
Henrik Stanek   [ TEKST ] Ritzau Scanpix [ FOTO ]
Fagbladsartikel 13/11/2018 Fremtidens ældre stiller nye krav
Tina Juul Rasmussen  [ TEKST ] Ritzau Scanpix [ FOTO ]
Fagbladsartikel 16/10/2018 Ja til tjek. Nej til ændring af MED
Sussi Boberg Bæch og Mette Jensen   [ TEKST ] Ritzau Scanpix [ FOTO ]
Fagbladsartikel 19/09/2018 Sportsfolk bliver syge af energimangel

Kontakt

RedaktørMette Jensen

T: 3163 6603
E: mj@kost.dk

Persondata skal bag lås og slå

  • Helle Baagø   [ TEKST ] Scanpix [ FOTO ]
    Helle Baagø [ TEKST ] Scanpix [ FOTO ]

En ny og omfattende dataforordning rækker ud til alle ledere og medarbejdere, der indsamler og registrerer personlige informationer om borgere, ansatte, kunder og klienter.

Forordningen kommer i kølvandet på en lang række sager fra blandt andet den offentlige sektor herhjemme. Datatilsynets liste over overtrædelser er efterhånden et langt synderegister over hacking, lækager og misbrug af især det unikke cpr-nummer.

Ny lov til maj

GDPR (General Data Protection Regulation) afløser et 20 år gammelt direktiv og træder i kraft den 25. maj. Fra den dag kan virksomheder og offentlige organisationer få bøder i millionklassen, hvis ikke de sikrer, at personoplysningerne behandles i overensstemmelse med loven.

− Er din opgave at håndtere råvarer eller tilberede dagens menu, er der ikke så meget på spil. Men så snart du er involveret i pakning af mad, eventuelt til mennesker med en diagnose, udarbejder individuelle kostplaner eller bestiller varer fra en pc, som rummer data om borgerne, skal du klædes på til at håndtere EU’s skærpede persondataforordning.

Det siger formanden for Rådet for Digital Sikkerhed, Henning Mortensen. Han underviser blandt andet organisationer og studerende på IT-Universitetet i, hvordan de nye regler skal implementeres.

Hvis er ansvaret

Henning Mortensen understreger, at det juridiske ansvar for at sikre og beskytte data ikke ligger hos de ansatte, men hos en juridisk enhed og i praksis hos arbejdsgiveren. Det er organisationen, myndigheden eller virksomheden, der skal sørge for, at it-systemerne lukker persondata ind bag lås og slå, og at medarbejderne bliver rustet til at håndtere de nye regler.

− Men de dataansvarlige sidder ofte i et administrativt elfenbenstårn. Derfor er det en vigtig pointe, at medarbejderne inddrages i at kortlægge systemer og arbejdsprocesser og ved, hvordan dataindsamling foregår i praksis, siger han.

Et langt synderegister

Forordningen kommer i kølvandet på en lang række sager fra blandt andet den offentlige sektor, hvor borgernes cpr-numre eller andre personlige oplysninger er blevet hacket eller ved en fejl er blevet lækket til andre borgere.

På mange måder indvarsler den nye EU-forordning et paradigmeskift. Tidligere har det ikke haft særlig store konsekvenser at overtræde loven. EU har bare måttet konstatere, at ingen rigtig efterlevede den. Men det ændrer de nye, store bødesanktioner på, mener formanden for Rådet for Digital Sikkerhed.

Sikkerheden skal dokumenteres

Alle organisationer og virksomheder skal fremover kunne dokumentere, at de overholder reglerne, hvis Datatilsynet kommer på uanmeldt inspektion. De skal fremvise beskrivelser af, hvordan de har sikret de persondata, der bliver opsamlet i kontakten med borgerne.

Centralt i forordningen er, at borgerne har en række rettigheder, og dem vil de i stigende grad konfrontere frontlinje-medarbejdere med.

− Flere og flere vil kræve indsigt i, hvilke data myndigheder og virksomheder opbevarer om dem og evt. forlange at få data udleveret eller slettet, forudser Henning Mortensen.

− Antallet af sager, hvor borgerne kræver det ene og det andet i forhold til persondata, vokser støt. Jeg er ret sikker på, at borgerne kommer til at gøre mere og mere brug af deres rettigheder. Måske kommer alle fremtidens it-portaler til at have en ‘indsigtsknap’, hvor man kan klikke for at få adgang til at se, hvad organisationen eller virksomheden har liggende af data om en, fortæller han.

Reglerne om indsigtsret gælder i øvrigt også ansatte, påpeger han.

− Vil du som medarbejder vide, hvad din arbejdsgiver ved om dig, kan du kræve at få data udleveret.

Øget sikkerhed

Henning Mortensen erkender, at den nye forordning kommer til at kræve ressourcer af både ledelse, medarbejdere og HR-afdelinger.

− Men grundlæggende er det her rigtig godt. Reglerne vil betyde, at vi får hævet sikkerheden i forbindelse med håndteringen af folks persondata. Efter den 25. maj kan vi være mere trygge ved digitalisering.

FAKTA
 

Hvad er persondata

EU-forordningen, persondataforordningen, definerer persondata som alle de informationer, der kan henføres til en identificerbar person: Navn, adresse, telefonnummer, cpr-nummer, kundenummer, ip-adresser etc.

www.gdpr.dk/

Du får en ny kollega

Data Protection Officer (databeskyttelsesrådgiver) er titlen på en ny jobkategori, som kommer til at optræde på mange offentlige og nogle private arbejdspladser. Ifølge de nye regler skal ansvaret for at overvåge persondata kobles til en navngiven person i virksomheder eller organisationer, der håndterer personfølsomme data.

Databeskyttelsesrådgiveren fungerer som en uafhængig rådgiver og en kontrolfunktion i alle spørgsmål om persondata.

Kontakt

Hvis du er i tvivl om håndtering af data skal du kontakte din ledelse.

 

GUIDE

til håndtering af persondata

 

•  Der skal være et juridisk grundlag for, at I behandler persondata, f.eks. skal borgerne have givet deres tilladelse
•  Det skal være gennemsigtigt for borgerne, at I behandler deres data
•  Data skal være korrekte, og de skal ajourføres
•  I skal bede om færrest muligt data og kun dem, der er nødvendige til specifikke formål. I kan altså ikke bede om personoplysninger, fordi de er rare at have − til en anden gang.
•  Data skal slettes, når det ikke længere tjener noget formål at opbevare dem.
•  Undtagelser for kravet om sletning er f.eks. sundhedsdata, hvor man ikke sletter en diagnose, selvom patienten får en anden diagnose end den oprindelige. Her må man så at sige gemme bevismaterialet for, at hospitalet eller lægen har gennemført en udredning, og så behandle videre på de nye korrekte oplysninger.
•  I må kun under ganske bestemte forudsætninger bruge oplysninger til andre formål end dem, som de er indsamlet til.
•  I skal sørge for, at data er beskyttet godt
•  Hvis I oplever sikkerhedshændelser og har mistanke om, at der sker hacking af jeres e-mail − eller at nogen forsøger at trænge ind i it-systemerne −  skal I rapportere det til den, som arbejdsgiveren har udpeget som den dataansvarlige.

Vil du vide mere:
www.datatilsynet.dk
www.gdpr.dk/