Hvad betyder de nye persondataregler  for din virksomhed?

Hvad betyder de nye persondataregler for din virksomhed?

Nye EU-regler skal beskytte borgernes privatliv. Det betyder, at du får ansvar for at beskytte data om dine kunder. Lovgivningen kan samtidig være en god lejlighed til at få kigget på IT-sikkerheden i din virksomhed.  

God grund til at komme i gang nu

I midten af 2018 træder nye EU-regler for håndtering af persondata i kraft. Det giver udfordringer i alle virksomheder – både i store og små. Så det er vigtigt at være i god tid.

De nye regler skal beskytte retten til privatliv. Almindelige forretningsdata indeholder nemlig flere oplysninger om en person, end man lige tænker på.

Køb af medicin på et website kan f.eks. afsløre detaljer om helbred. Og oplysninger om en kundes smag i bilmærke fra mekanikerens computer kan fortælle om indtægtsniveau. Det skal forblive privat. Det samme gælder data, der kan afsløre politisk, seksuelt eller religiøst tilhørsforhold.

Loven stiller mange krav til din virksomhed, men giver jer også anledning til at gennemgå jeres IT-sikkerhed. Det er en fordel. For IT-kriminalitet eller datatab kan have store konsekvenser.

 

Hvad er persondata mere præcist?

Persondata er information om en identificeret eller identificerbar person. Det er altså ikke kun data med navn, der er persondata. En e-mailadresse eller et telefonnummer gør også en person identificerbar. Det samme gør f.eks. en nummerplade eller en IP-adresse. Det er altså rigtig mange data, der skal behandles efter reglerne.

Eksempler på data, I skal beskytte:
Listen er naturligvis ikke komplet, men her nogle af de data, der ofte vil indeholde persondata, der skal beskyttes:

  • Købshistorik f.eks. i webshop og fakturaer
  • Trafikdata på hjemmesiden
  • Nyhedsbrevsdatabase
  • Personalesager
  • Jobansøgninger
  • Kreditoplysninger
  • Adfærdsmarketing
  • Spørgeskemaer
  • TV-overvågning
  • IQ-test af kandidater
  • Indhentede straffeattester
  • Helbredserklæringer.

 

Hvad er det nye?

Der findes allerede lovgivning i Danmark, der beskytter persondata. Men de nye regler tilføjer flere, nye krav:

 

Dokumentation og bøder

Fremover skal I selv dokumentere, at I overholder lovgivningen. I skal gennemgå hele jeres virksomhed for persondata og bl.a. beskrive, hvilke persondata I opbevarer og hvordan data er beskyttet. Det er vigtigt, at I får gjort det. De nye regler byder nemlig på bøder i en helt anden størrelsesorden end tidligere. Op til 4 % af omsætningen, hvor den allerhøjeste bøde før har været på 25.000 kr.

 

Samtykke og permission

Måske har I allerede styr på at få permission fra jeres brugere, når de afgiver deres personoplysninger. Men ellers er det nu, I skal få tjek på det. De nye regler kræver, at I oplyser hvad data skal bruges til, hvor længe de opbevares og hvem I deler dem med. Desuden er det ikke tilladt at stille krav om, at personoplysninger må bruges til markedsføring. Har I personoplysninger om børn er forældrenes accept nødvendig, hvis børnene er under 16 år. Helt nyt er det også, at alle har ret til at se, hvilke personoplysninger I ligger inde med om dem. Og få oplysningerne slettet, hvis de ønsker det. Det ønske skal I kunne håndtere.


Er jeres datasikkerhed i orden?

Reglerne kræver at persondata skal opbevares, så de ikke bliver stjålet eller kopieret. Hvis I ikke har IT-kyndige medarbejdere, er det svært at vurdere om jeres data er sikret forsvarligt. Derfor kan det være en god idé at tale med jeres IT-leverandør. Telia har også en række sikkerhedsprodukter, der kan skaleres til alle størrelser af virksomheder. De kan være med til at løfte jeres IT-sikkerhed. Specielt, hvis I selv står for IT-driften i dag.

 

Læs mere om Telias IT-løsninger

 

Hvem har adgang?

Sikkerhed er ikke kun firewalls og sikker Cloud Hosting. Medarbejdernes adgang til persondata er et andet område, hvor det er en god ide at komme de nye regler i forkøbet. En intern sikkerhedspolitik er et godt sted at starte. Hvem har adgang til mapper og systemer? Skal nogle persondata anonymiseres? Skal der bruges password for at tilgå visse dele af jeres system? Disse tiltag skal I selvfølgelig også dokumentere.

 

Start med at få et overblik

Et af de nye krav er dokumentation for jeres brug af data. Det er ikke den letteste opgave, men alligevel et godt sted at starte, da det giver overblik. Gennemgå område for område: regnskab, rekruttering, marketing, salg osv. Eller kig på, hvilke systemer hver enkelt medarbejder bruger? I vil finde ud af, at nogle af jeres persondata ligger hos leverandører i forskellige webbaserede løsninger – f.eks. nyhedsbrevsmodul eller regnskabssystem. Her kan I med fordel gå i dialog med leverandøren og få styr, hvad de gør for at passe på jeres data. Alle leverandører vil have fokus på at leve op til reglerne. Den nye lovgivning giver nemlig også databehandler et ansvar, hvis der opstår et læk.

Systemer, der typisk vil indeholde persondata:

  • CRM-systemer
  • Rekrutteringssystemer
  • Regnskabs- og faktureringsværktøjer
  • Excel-filer på jeres almindelige server
  • Nyhedsbrevs-udsendelsessystemer
  • Salgssystemer f.eks. e-handel.

 

Søg råd hos din brancheorganisation

Reglerne er helt nye og vil over det næste år blive fortolket og forklaret mere detaljeret. Din brancheorganisation er sikkert allerede i gang med at se på alle paragrafferne. Hvad betyder de i lige netop din branche? Hvordan skal de forskellige begreber helt præcis forstås? De myndigheder, der har ansvaret på området, vil også komme med materiale, der kan være til god hjælp. Men du kan sagtens starte nu. Et grundigt overblik er nemlig et godt udgangspunkt for at komme sikkert i mål, inden maj 2018.

Dansk Erhverv – god oversigt om nuværende regler og ændringer i 2018

IT-Branchen – brugbar tjekliste

Datatilsynet – udførlig guide med 12 spørgsmål

 

Læs også


Ny Selvbetjening giver bedre overblik

Ny Selvbetjening giver bedre overblik

Sikkerhedsløsninger fra Telia til din virksomhed

Sikkerhedsløsninger fra Telia til din virksomhed