Kontakt
Artikler
/
Juristens tips og tricks

Juristens tips og tricks

Siscons jurist har deltaget på et oplæg med Datatilsynet og Compliance fra større danske virksomheder. Vi har i denne artikel samlet de vigtigste pointer om Datatilsynets tilsyn, brexit og meget mere.
Rådgivning
ControlManager
Kontakt
October 2020

Juristens tips og tricks
Siscons jurist har deltaget på et oplæg med Datatilsynet og Compliance fra større danske virksomheder. Vi har i det følgende samlet de vigtigste pointer. Har du brug for juridisk rådgivning? Kontakt os i dag lad os hjælpe dig sikkert videre.


BREXIT
Virksomheder kommer ikke udenom at tage stilling til det forestående Brexit. Det vides ikke, om der er tale om en “Deal”-Brexit (exit med en EU-aftale) eller en “no deal”-Brexit (exit uden aftale med EU). Af den grund bør virksomheder være forberedt på, hvilke konsekvenser begge scenarier kan have i relation til udveksling af data: 

  • ”Deal”: Hvis der foreligger en aftale med EU, så er der formentlig tale om en overgangsperiode indtil 31. december 2020. I denne periode vil der være uændret adgang til overførsler. Der vil være tid til at UK kan blive godkendt som et sikkert 3. land eller godkendt med en aftale lignende US Privacy Shield ordningen. 
  • ”No Deal”: UK bliver et usikkert 3. land fra 29. marts 2019 ved midnat. Spørgsmålet er så, om UK kan blive et godkendt 3. land, men under alle omstændigheder kan der ikke opnås 3. lands godkendelse inden 29. marts 2019. Der er desuden usikkerhed om UK kan opnå en 3. lands godkendelse grundet UK Investigatory Powers Act 2016. Investigatory Powers Act 2016 er en lov om myndighedernes adgang til overvågning og dataindsamling til beskyttelse af national sikkerhed og retshåndhævelse. Der kan derfor være usikkerhed om hvorvidt UK kan overholde de Europæiske Essentielle Garantier. Opnås der ikke en 3. lands godkendelse, vil der være behov for, at virksomheder udveksler data på baggrund af et særligt juridisk grundlag. Det kan være Bindende Virksomhedsregler eller EU’s standardkontrakter. 

US Privacy Shield Ordningen    De Europæiske Essentielle garantier    UK Investigatory Powers Act 2016


Datatilsynets tilsyn
Datatilsynet kan foretage forskellige tilsyn. Det kan være skriftlige tilsyn (oplysningsindsamling), fysiske tilsyn (tilsynsbesøg) eller disse i kombination.

Ved skriftlige tilsyn kan Datatilsynet kræve enhver oplysning, der er nødvendig for deres oplysningsindsamling. 

Ved fysiske tilsyn har Datatilsynet ret til at kræve adgang til alle lokaliteter, hvor der foretages persondatabehandling. Såfremt dette nægtes, kan Datatilsynet få adgang ved politiets hjælp. 

Datatilsynet har i 2018 ført planlagte tilsyn, som er en del af den årlige tilsynsplanlægning samt Ad Hoc tilsyn, som er baseret på konkrete hændelser, som er indrapporteret af f.eks. borgere eller virksomheder. 

Tilsynets fokus var i 2018 på behandlingssikkerhed, sletning, de registreredes rettigheder, art. 30 fortegnelsen, anvendelse af databehandlere og behandlingshjemmel samt sikkerhed. 

Datatilsynet har meldt ud på deres hjemmeside, hvilke planlagte tilsyn de vil fokusere på i det første halvår af 2019. Fokus i det kommende halve år er; brud på persondatasikkerheden, DPO-funktionen, kryptering af e-mails, autorisation af medarbejdere, den registreredes indsigtsret, aggregering og sammenstilling af data til brug for videre salg samt brug og genbrug af data. 

Da Datatilsynet nu er kommet godt i gang med deres tilsyns- og kontrolopgaver, må det forventes, at der i løbet af 2019 vil forekomme flere tilsyns- og kontrolbesøg i både private virksomheder og offentlige myndigheder – både planlagte tilsyn og ad hoc tilsyn. 

Det er derfor vigtigt, at der er styr på håndteringen af sikkerhedsbrud og anmeldelsespligt, de registreredes rettigheder (herunder håndteringen af disse), DPO-funktionen, autorisation og brugerrettighederne.


Compliance/efterlevelse
En af de ting som Datatilsynet selv har nævnt, at virksomheder skal være opmærksomme på er, at der skal foreligge dokumentation for efterlevelse af GDPR. Det vil sige, at efterlevelse af f.eks. persondatapolitikken, håndtering af de registreredes rettigheder osv. skal dateres og dokumenteres.

Nyttige links
Generelt om tilsyn
Læs den fulde liste over Datatilsynets gennemførte tilsyn i 2018
Baggrunden for de udvalgte temaer og hvilke virksomheder der kan forvente besøg i første halvår af 2019


HÅNDTERING AF DATABRUD I PRAKSIS
Siden den 25. maj har Datatilsynet i 2018 modtaget 2.780 anmeldelser om persondatabrud. Når man kigger på antallet af anmeldelser, er det vigtigt at notere sig, at der kun skal anmeldes, når det vurderes sandsynligt, at det indebærer en risiko for de registrerede. 

Ud af de 2.780 anmeldelser, behandles der fortsat 700 sager. Desuden genvurderes 600 sager med henblik på sanktioner, herunder f.eks. politianmeldelse. 

Langt de fleste anmeldelser går på oplysninger sendt til den forkerte modtager, altså menneskelige fejl. 

Datatilsynets umiddelbare vurdering er, at funktionalitetsunderstøttelse f.eks. autoudførelse af e-mailadresser, standardbreve der flettes til mange modtagere, og udsendelse af grafer, hvor de underliggende data ikke er fjernet, bør revurderes hos de respektive dataansvarlige. Dette for at minimere risikoen for de registrerede f.eks. ved at benytte bcc og ikke cc ved afsendelse af mail til flere modtagere. 

Når Datatilsynet modtager en anmeldelse af et brud, foretages der en vurdering af omfanget af bruddet og de berørte, risikoen for de registrerede, risikoen omkring selve hændelsen, om der skal ske underretning af de registrerede og er om dette foretaget. 

Vurderer Datatilsynet, at der ved et brud er risiko for de registrerede, kan dette føre til kritik og i værste tilfælde sanktioner fra Datatilsynet. 

Derfor er det vigtigt at huske følgende, når man laver anmeldelsen: 

  • At anmeldelsen er foretaget senest 72 timer efter bruddet er konstateret 
  • At lave en grundig beskrivelse af hændelsesforløbet herunder typen af bruddet, arten, omfanget og antallet af berørte 
  • Om bruddet omfatter særlige registrerede herunder børn eller andre særligt udsatte grupper 
  • At foretage en vurdering af risikoen for de registrerede 
  • At beskrive de sikringsforanstaltninger, der er foretaget på baggrund af bruddet 
  • Vurdere om de registrerede skal underrettes og i givet fald, hvordan underretning er sket 

Håndtering af databrud      Datatilsynet behandling af brud i 2018


TILSYN MED DATABEHANDLER/UNDERDATABEHANDLER
Persondataforordningen foreskriver, at man fører tilsyn med sine databehandlere og underdatabehandlere. Datatilsynet udsendte i maj 2018 en vejledning til tilsyn med databehandlere og underdatabehandlere. Tilsynet kan føres af virksomheden selv eller af en uafhængig tredjepart. 

Indtil nu har mange virksomheder efterspurgt en ISAE 3000 erklæring fra deres databehandlere. For at gøre denne erklæring mere målrettet GDPR, har FSR i februar 2019, i samarbejde med Datatilsynet, udarbejdet en ny ISAE 3000 erklæring, som har et målrettet fokus på håndhævelse af forordningen. Datatilsynet har dog angivet, at denne erklæring ikke altid kan sidestilles med et egentligt tilsyn. Det er derfor vigtigt, at man tager stilling til indholdet i erklæringen og efterspørger flere oplysninger, hvis der er tvivl om de rette sikringstiltag. 

Fører man selv tilsyn er det vigtigt at sikre sig følgende ved tilsynet med databehandleren/underdatabehandleren: 

  • At der spørges ind til relevante processer og procedurer 
  • At der er dokumentation for samme 
  • At der tages stilling til om indholdet og sikringen er tilstrækkelig 
  • Hvis ikke, at der bliver foretaget de nødvendige sikringstiltag 
  • At selve tilsynet dokumenteres 

Datatilsynets vejledning om tilsyn med databehandlere og underdatabehandlere      Ny FSR erklæring


Få et godt greb om compliance med det rette værktøj
Mange virksomheder etablerer et decideret compliancesoftware til konsekvent og præcist at styre deres compliancepolitik. Med ControlManager™ til at understøtte arbejdet med compliance på tværs af afdelinger, sikrer I effektivitet og ensartethed hele vejen rundt. 
Med det rette værktøj kan I minimere risici, forebygge menneskelige fejl og ikke mindst effektivisere og ensrette jeres processer på tværs af virksomheden. Det styrker fleksibiliteten, skaber større transparens og giver en mere effektiv drift.  

De største fordele ved ControlManager™ er blandt andet: 

  • Bedre overblik og håndtering af risici 
  • Øget effektivitet på tværs af afdelinger 
  • Bedre workflows og tracking af hændelser 
  • Kendskab til complianceniveauet på tværs af din virksomhed 
  • Konsekvent dokumentation af opfølgningen på overholdelse af regler og retningslinjer 

 

Vores ambition er, at ControlManager™ giver stor værdi på tværs af hele virksomheden, og udover ovennævnte fordele er det værd at nævne, at et styrket samarbejde og en bedre kommunikation ofte også følger i kølvandet på at arbejde med ControlManager™.

Læs også

Compliance – hvad betyder det for din virksomhed?

Ansvar for Cyber- og informationssikkerhed

Kontakt

Kontakt os endelig. Vi bider ikke.

Hvad enten det er om stort eller småt, så er vi klar til at hjælpe. Vi glæder os til at høre fra dig.

Kontakt os
Vandtårnsvej 83A, 2860 Søborg
Danmark
Siscon
Nyttige links
Det med småt
Siscon

Vi er medlem af

CVR: 27981275
Copyright © Siscon 2024.
Book demo
Ydelser
Rådgivning

Læs om vores ydelser og hvordan vi sammen kan styrke jeres position
ControlManagerTM

Det førende GRC-tool til at understøtte jeres med informationssikkerhed og persondatabeskyttelse 
ControlManagerTM support

Find information om brugen af ControlManager™ eller kontakt supporten.
Siscon
Om Siscon

Læs om Siscons historie og udvikling

Teamet

Mød teamet bag ved Siscon  – dem der hver dag får tingene til at ske

Job i Siscon

Overvejer du et jobskifte? Læs om hvad vi kan tilbyde dig.

Kontakt

Har du brug for at komme i kontakt med os?  Find alle vores oplysninger her

Viden
Mød os

Vi glæder os til at møde dig – se hvor og hvornår vi afholder og deltager i events rundt omkring i landet
Artikler

Vi har samlet nyere og gamle artikler, som vi eller andre har forfattet indenfor informationssikkerhed og persondatabeskyttelse
Referencer

Søger du inspiration til hvordan i kan gribe jeres opgave an? Læs om hvad andre har opnået og bliv inspireret selv
Webinarer

Vi deltager i og afholder selv webinarer indenfor informationssikkerhed og persondatabeskyttelse – vi har samlet et udpluk til dig her

Book en demo af ControlManager™ 

Er du interesseret i at lære mere om hvordan ControlManager™ kan hjælpe jer? Book en personlig demo, og lad os vise dig, hvordan vores løsninger kan imødekomme jeres behov og hjælpe din virksomhed med at nå sine mål.