’PAPIRTIGER’ ELLER FREMTIDSCOMPLIANT?

    Du har det sikkert som de fleste GDPR ansvarlige lige nu? Det er nogle måneder siden GDPR trådte i kraft. Verden gik ikke under som ‘de kloge’ spåede, men papirtigeren hærger stadig i flertallet af danske virksomheder/organisationer, og det er de færreste der er i GDPR mål endnu.

    Vi taler dagligt med GDPR ansvarlige og de fleste oplever en virkelighed, hvor

    • Du har 100% styr på juraen, men har svært ved at finde et fælles sprog med jeres IT-afdeling og deres informationssikkerhedsstruktur?
    • Du har svært ved at få opbakning fra ledelsen, da de ikke forstår de forretningsmæssige konsekvenser af GDPR?
    • Du mangler tilstrækkelige ressourcer til en effektiv og langsigtet GDPR løsning?

    Begrebet papirtiger stammer helt tilbage fra 1946 da Mao sagde til den amerikanske journalist Anna Louise Strong, at “alle reaktionære er papirtigre. I ydre er de reaktionære frygtindgydende, men i virkeligheden er de ikke så mægtige”. Vi er sikre på, at Bruxelles med introduktionen af GDPR ikke ser sig selv som reaktionære, men resultatet har for mange været et alvorligt bump på den forretningsmæssige motorvej, der var banet vej for inden.

    Problemet med GDPR er, at det griber ind overalt i organisationen; HR-afdelingens medarbejderdata, IT-afdelingens databehandleraftaler, marketingafdelingens brug af kundedata … vi kan blive ved! Det er mange forskellige funktioner og nøglepersoner, du skal have til at arbejde sammen, og vi kan godt forstå, hvis du ligesom de fleste andre ikke er nået i mål endnu med en holdbar GDPR strategi.

    Den gode nyhed er, at vi kan hjælpe dig med at aflive papirtigeren en gang for alle. Effektiv GDPR compliance kræver en grundig datakortlægning, en klar strategi og en masse benarbejde. Og hverken quickfix løsninger eller enkeltmandspræstationer kan bruges på den lange bane – det kræver et hold, der arbejder sammen! Vi møder dagligt kunder der slås med de samme udfordringer som dig, og de erfaringer deler vi meget gerne med dig.

    HVORDAN KAN DU BLIVE FREMTIDSCOMPLIANT MED SISCON?

    Introduktionen af GDPR har banet vejen for hundredevis af konsulent-, revisions- og advokathuse, som lover guld og grønne skove, men vi ’overtager’ ofte kunder, som ikke er kommet meget nærmere holdbar compliance med disse quickfix-løsninger.

    Hos Siscon har vi arbejdet med informationssikkerhed siden 2004. Lars Bærentzen grundlagde Siscon med ideen om at skabe et software, der kunne styre de mange komponenter i et velfungerende ISMS. Det blev startskuddet på ControlManager™, som er et værktøj, der ikke bare kan håndtere jeres informationssikkerhed, men også kan bygge bro til GDPR. Det betyder, at I kan genbruge en masse af de byggesten, som sikrer effektiv og langtidsholdbar efterlevelse af GDPR.

    Det kalder vi FremtidsCompliant. Vores erfarne konsulenter afdækker jeres behov sammen med dig og fører dig sikkert gennem de 6 faser, der sikrer en succesfuld implementering/strukturering af jeres GDPR indsats:

    10 konkrete værdier ved at vælge Siscon som samarbejdspartner:

    • Du får et samlet overblik
    • Du bliver guidet til effektiv implementering af vores erfarne konsulenter
    • Du får et gennemtestet værktøj, der også kan bruges strategisk af ledelsen
    • Du er sikret langtidsholdbar compliance
    • Du får nemmere ved at tale IT-afdelingens sprog
    • Du kan nemt trække data og oversigter, når du skal kommunikere GDPR indsatsen til organisationen
    • Du sikrer forankring i virksomheden, med løbende kontroller, årshjul og awareness
    • Du undgår bøden på 4% af jeres omsætning
    • Du sparer organisationen penge på længere sigt
    • Du får en samarbejdspartner med dokumenterede resultater fra både det offentlige og private marked

    PS. Har du hørt om vores ‘DPO as a service‘ koncept? Mange virksomheder er forpligtet til at have en DPO, men har svært ved at rekruttere en profil med de rette kompetencer. Hvis det også er tilfældet for jer så ring til vores juridiske GDPR rådgiver Lotte Mailand på +45 60 16 14 47.

    Baggrunden for EU GDPR

    I 2016 blev der vedtaget nye regler for behandling af personoplysninger i form af EU-forordningen (General Data Protection Regulation, GDPR) som træder i kraft den 25. maj 2018. De nye regler erstatter i Danmark loven om behandling af personoplysninger fra 2001.

    Struktur i EU GDPR

    Persondataforordningen er grundlæggende opbygget omkring 7 hovedområder:

    1. Indledningsvis fastlægges det hvilke informationer og hvilke individer, der er omfattet af forordningen. Her sondres mellem dem, som personoplysningen vedrører (de registrerede), dem der har ansvaret for databehandlingen (dataansvarlige) og dem som udfører databehandlingen på vegne af de dataansvarlige (databehandlere).

    2. Forordningen kategoriserer personoplysningerne ud fra hvor følsomme de vurderes til at være. Virksomhederne skal vurdere, hvilke oplysninger de ønsker at behandle, og efterfølgende vurdere om de har et retsligt grundlag for dette.

    3. Der findes i forordningen en række principper for behandlingen af personoplysningerne:

    • Den skal være lovlig (fx med samtykke)
    • Den skal være fair
    • Der skal være transparens
    • De må kun bruges til et specifikt, eksplicit og legitimt formål
    • Der må ikke indsamles flere oplysninger end nødvendigt
    • Oplysningerne skal være korrekte og opdaterede
    • Oplsyningerne må ikke lagres længere end nødvendigt
    • Oplysningerne skal beskyttes via sikkerhedsforanstaltninger ud fra konkret risikovurdering

    4. De registrerede har en række rettigheder i.f.t. databehandlingen:

    • Ret til at blive informeret om behandlingen og ret til at få rettet eller slettet personoplysninger.
    • Ret til at få deres oplysninger udleveret så de kan bringes videre til anden tjenesteudbyder.
    • Ret til ikke at blive profileret.

    5. Den dataansvarlige har også en række pligter, som virksomheden skal opfylde for at kunne foretage behandlingen. Det indebærer, at de skal beskytte personoplysninger tilstrækkeligt og i et vist omfang integrere beskyttelse af personoplysninger i deres IT-systemer. Disse tiltag skal baseres på en risikoanalyse og i visse tilfælde en konsekvensanalyse (Data Protection Impact Assessment, DPIA og Privacy Impact Assessment, PIA).

    6. Udover ovenstående generelle forhold eksisterer der en række specifikke forhold, som virksomheden skal forholde sig til. Disse forhold træder i kraft i særlige tilfælde:

    • Hvis den dataansvarlige eller databehandleren overfører personoplysninger ud af EU
    • Hvis der indenfor branchen er særlige adfærdskodeks eller certificeringer som skal efterleves
    • Hvis der er særlige regler for visse branchers behandling på nationalt plan.

    7. Endelig indeholder forordningen en række forhold, som primært retter sig mod de nationale tilsynsmyndigheder, men som kan være nyttige for virksomhederne at sætte sig ind i.

    Konsekvenser af EU GDPR

    Persondataforordningen indeholder en række nye tiltag:

    Samtykke

    Hvis behandlingen af almindelige personoplysninger skal være lovlig kræver det et frit, specifikt, informeret og utvetydigt samtykke. Praktisk betyder det, at de registrerede accepterer ved klik i en boks, eller på anden vis udviser en adfærd der tilkendegiver samtykket. Den dataansvarlige har pligt til at dokumentere samtykket og i tilfælde af personfølsomme oplysninger skal samtykket ydermere afgives eksplicit.

    Grad af følsomhed

    I modsætning til tidligere skelnes der nu kun mellem almindelige og personfølsomme oplysninger.

    Ret til hjælp fra dataansvarlig

    Den registrerede har ret til at få hjælp til at udøve sine rettigheder fra den dataansvarlige.

    Oplysning

    Virsomhederne skal give de registrerede langt flere oplysninger end tidligere:

    • Den dataansvarliges kontaktinformation
    • Formålet med behandlingen
    • Lovligheden af behandlingen
    • Information om overførsel til tredjeparter
    • Perioden for behandlingen (inkl. lagring)
    • Retten til at gøre indsigelse og begrænse behandlingen
    • Muligheden for at trække samtykket tilbage
    • Muligheden for at klage til Datatilsynet
    • Angivelse af om behandlingen indgår i en profilering.
    Retten til at blive glemt

    Den registrerede har i en række tilfælde ret til at få slettet sine oplysninger. Den dataansvarlige skal, hvis oplysningerne er blevet offentliggjort af den dataansvarlige, og den dataansvarlige pålægges at slette disse personoplysninger, samt tage rimelige skridt til at andre dataansvarlige, som også behandler disse oplysninger, sletter personoplysningerne eller links hertil.

    Dataportabilitet

    Den registrerede kan kræve sine personoplysninger udleveret i et struktureret, almindeligt anvendt og maskinlæsbart format så de registrerede kan sende personoplysningerne til en anden dataansvarlig. Formålet er at gøre det let for den registrerede at få overblik over sine data og nemt at overføre dem til en konkurrerende serviceudbyder.

    Retten til ikke at blive profileret

    Den registrerede har krav på ikke at blive profileret på baggrund af automatiserede databehandlinger, som har retsvirkning eller betydelige konsekvenser. Profilering må altså ikke bruges til fx kreditvurderinger eller e-rekruttering. Der kan dog stadig indhentes samtykke til fx markedsføringsformål.

    Den dataansvarliges pligter

    Den dataansvarlige har ansvaret for at behandlingen af personoplysninger er i overensstemmelse med forordningen. Det betyder bl.a:

    • Beskyttelse gennem fx pseudonymisering og kryptering af personoplysninger skal i en række tilfælde integreres i IT-løsningen.
    • Der skal udarbejdes dokumentation, for den databehandling der foretages.
    • De nødvendige sikkerhedsforanstaltninger skal sikres.
    • Datatilsynet skal informeres omkring hændelser, der har kompromiteret personoplysningerne.
    • Der skal i visse tilfælde foretages en konsekvensanalyse ud fra de registreredes synspunkt ved at oplysningerne behandles.
    • Der skal i visse tilfælde udpeges en databeskyttelsesrådgiver (DPO)
    • Den obligatoriske anmeldelse til Datatilsynet omkring behandling af personoplysninger bortfalder delvist. Hvis der behandles personoplysninger, som kan udsætte de registrerede for særlige risici, skal der i visse tilfælde alligevel foretages anmeldelse.
    Databehandlerens forpligtelser

    Databehandleren er forpligtet til at hjælpe den dataansvarlige med at efterleve dele af forpligtelserne, og pligt til at informere den dataansvarlige hvis de vurderer, at en instruktion er ulovlig.

    Overførsel til tredjelande

    Der kan overføres personoplysninger til tredjelande ved anvendelse af standardkontrakter (Standard Contractual Clauses, SCC), Binding Corporate Rules (BCR) og via de aftaler som EU-Kommissionen laver med andre lande (fx USA).

    One-stop-shop og sammenhængsmekanismen

    Den dataansvarlige skal fremover som hovedregel alene interagere med datatilsynet i det EU-land, hvor virksomheden foretager beslutninger vedrørende databehandlingen. Dermed får hver virksomhed som hovedregel kun et datatilsyn at samarbejde med.

    Administrative bøder

    Virksomhederne kan pålægges bøder for ikke at overholde forordningen. For manglende efterlevelse af den dataansvarlige eller databehandlerens pligter kan virksomhederne straffes med bøder på 2% af moderselskabets omsætning eller 10 mio. EUR. Manglende efterlevelse af principperne, brud på de registreredes rettigheder, overførsel til lande udenfor EU uden retsligt grundlag eller manglende efterlevelse af ordrer fra Datatilsynet kan straffes med bøder på 4% af moderselskabets omsætning eller 20 mio. EUR.

    X