temaer
DATABESKYTTELSES-LOVEN banker på døren - og hvad så?

Af revisor Søren Windahl, GLB Revison Køge december 2017

 

2017 går på hæld, og der er ikke så lang tid til 25. maj 2018 – en dato, der nærmest er bøjet i neon i rigtig mange danske virksomheders bevidsthed. For nogle et neonskilt, der holder dem vågne i nattemørket, siger Martin Brogaard Nielsen, it-revisor 

 

Som læseren nok allerede ved, så er det datoen, hvor den kommende databeskyttelseslov træder i kraft, og den store interesse for og omtale af ændringerne til lovgivningen vil kun vokse, des nærmere vi kommer ikrafttrædelsen.

 

Idet lovgivningen gælder for stort set alle virksomheder og myndigheder i større eller mindre grad, er lovændringerne det seneste års tid blevet et af de væsentlige fokusområder i dansk erhvervsliv.

 

Som det tidligere er blevet omtalt her i FACIT, er ændringerne ikke så store, som de bliver gjort til. Populært sagt er den eksisterende persondatalov og den kommende databeskyttelseslov 80 % identiske og altså med få – men dog væsentlige – forskelle.

 

Med andre ord: Det er evolution, ikke revolution. Det er nok ikke helt forkert at antage, at grundmotivationen for det øgede fokus er udsigten til barskere sanktioner, kombineret med den tsunami i en tekop, der efterhånden er blevet pisket op.

 

Det er her, vi finder sagens kerne (eller i alt fald en af dem). Hvis en typisk dansk virksomhed i SMV-segmentet i forvejen efterlever den eksisterende persondatalov, skal der i princippet kun foretages justeringer. Hvis virksomheden ikke efterlever nuværende lovgivning, så er det ved at være nu, at arbejdet skal sættes i gang.

 

Sådan kommer virksomheder i gang med ”den praktiske del af festen”

Virksomheder skal gennem samme forløb i forhold til efterlevelse af databeskyttelsesloven, uanset deres modenhedsgrad. Omfanget af det arbejde, som den enkelte virksomhed skal lægge i processen, afhænger af omfanget af den eksisterende kortlægning, procedurer mv., og dermed vil virksomheder, der i dag efterlever persondataloven, opleve et hurtigere og mere smidigt forløb.

 

Arbejdet hen mod efterlevelse af databeskyttelsesloven består af fire faser:

 

FASE 1: Foranalyse og fortegnelse

• Foranalyse af virksomhedens situation

• Udarbejdelse af persondatafortegnelse

 

FASE 2: Udarbejdelse af informationssystem

• Struktur for overførsel, behandling og tilgang til persondata

• Politikker, procedurer, retningslinjer

 

FASE 3: Implementering af informationssystemet

• Forankring i organisationen

• Bevidstgørelse af medarbejdere, evt. tilpasning af systemer

 

FASE 4: Vedligeholdelse af informationssystemet

• Udarbejdelse af årshjul for løbende vurdering af informationssystemet

• Regelmæssig gennemgang af processer og procedurer

 

 

 

Foranalyse og fortegnelse (fase 1)


 

Foranalysen handler om at få skabt et overblik over de relevante elementer i virksomheden i forhold til håndtering af persondata. Det omfatter virksomhedens data, informationsstruktur, it-systemer, kunder, databehandlere og dataansvarlige mv. Med andre ord en kortlægning over virksomhedens persondata og behandling af samme.

 

På baggrund af foranalysen udarbejdes en fortegnelse over de persondata, virksomheden har, og hvor meget persondata det drejer sig om. Det kan fx vise sig, at virksomheden har mange interne persondata i form af HR-data som følge af et stort antal medarbejdere og derfor kontinuerlig rekruttering. Til gengæld behandles måske kun en begrænset mængde af persondata om kunder.

 

Fortegnelsen vil herudover vise, hvad virksomheden bør gøre, og den fungerer dermed som en form for en vejviser i forhold til, hvilke forhold der skal håndteres (databehandleraftaler, politikker, instrukser mv.).

 

Et konkret eksempel i forhold til brug af underleverandører kunne være, at der benyttes et eksternt lønsystem. I den situation skal der dels udarbejdes en databehandleraftale, og dels skal det sikres, at leverandøren af lønsystemet har etableret betryggende kontroller, herunder at man som kunde hos dem for eksempel kan indhente en revisorerklæring som dokumentation for overholdelse af reglerne.

 

Det kan herudover tænkes, at virksomheden skal begrænse adgang til bestemte data, at der skal udarbejdes en it-sikkerhedspolitik, eller at der skal udarbejdes interne instrukser til medarbejdere. Det er alt sammen forhold, alle virksomheder bør dokumentere, for at vise over for sig selv, Datatilsynet eller andre, at der er taget stilling.

 

Der findes skabeloner til fortegnelsen, og en sådan kan også indhentes hos din revisor, hvor skabelonen endda også indeholder en meget simpel form for dataflow. Omfang, type og behandling af persondata varierer fra virksomhed til virksomhed, så fortegnelsen vil se meget forskellig ud fra virksomhed til virksomhed.

 

 

Udarbejdelse af informationssystem (fase 2)


 

Med fortegnelsen har virksomheden en køreplan for fase 2. Slutmålet med denne anden fase er at få et informationssystem udarbejdet og implementeret; en struktur for, hvordan persondata overføres, behandles og tilgås.

 

Som et konkret eksempel kan vi forestille os, at en virksomhed skal rekruttere en ny medarbejder. En HR-medarbejder modtager adskillige ansøgninger, som indeholder persondata. Alle ansøgninger gemmes i en mappe på fællesdrevet, og de ti mest relevante ansøgninger videresendes til et par ledere. En af lederne vælger at sende et par af ansøgningerne videre til en underordnet for at høre hendes holdning.

 

Dermed ligger der nu persondata, i form af ansøgninger, adskillige steder i virksomheden – på fællesdrevet (og hvem har adgang til mappen?), i diverse ind- og udbakker i mailprogrammer, og måske der også er blevet printet et par eksemplarer af ansøgningerne.

 

Hvilke procedurer har virksomheden etableret for at sikre, at disse persondata bliver slettet? Formålet med informationssystemet er bl.a. at sørge for, at der aktivt er taget stilling til en situation som denne, og at de korrekte handlinger bliver udført.

 

Det er vigtigt at understrege, at der ikke er tale om et decideret it-system, men et informationssystem. Et eller flere it-værktøjer kan indgå i systemet, men med informationssystem menes en kollektiv betegnelse for sikkerhedspolitik, procedurer, databehandleraftaler, interne instrukser mv.

 

I forbindelse med informationssystemet skal også udarbejdes sikkerhedspolitik, procedurer, databehandleraftaler, interne instrukser mv., som understøtter korrekt databehandling og -beskyttelse. Virksomheden skal altså danne sig et overblik over, hvilke persondata der håndteres, og tage stilling til, hvordan behandlingen foregår.

 

 

Implementering af informationssystemet (fase 3)


 

Når informationssystemet er beskrevet og etableret, skal det implementeres i organisationen, så virksomheden efterlever de udarbejdede procedurer og politikker. Nogle af elementerne i informationssystemet vil ikke vedrøre alle medarbejdere – eksempelvis procedurer for håndtering af ansættelseskontrakter. Til gengæld vil alle medarbejdere skulle bevidstgøres om virksomhedens it-sikkerhedspolitik. En del af implementeringen kan også være, at it-systemer skal tilpasses, fx etablering af adgangsbegrænsning.

 

 

Vedligeholdelse af informationssystemet (fase 4)


 

Når informationssystemet er implementeret, og alt kører som det skal, er det vigtigt at vedligeholde det, så det altid er ajour. Det er en god idé at udarbejde et årshjul, som fx omfatter kvartalsmæssig gennemgang af processer og procedurer, inkl. undersøgelse af at procedurerne følges. Det er også vigtigt løbende at vurdere, om elementer i informationssystemet skal tilpasses.

 

Efterlevelse kan sagtens nås – og den store hammer falder nok ikke omgående

Selv om ikrafttrædelsen af databeskyttelsesloven nærmer sig, kan virksomheder stadig nå at forberede sig. Selv de mindst forberedte virksomheder kan via et målrettet forløb nå at blive klar.

 

Uanset modenhedsniveauet anbefaler vi, at alle virksomheder snarest får udarbejdet føromtalte fortegnelse, der vil tjene som første spadestik til efterlevelse af databeskyttelsesloven og hjælpe med at demonstrere accountability (ansvarlighed) og gennemsigtighed. Det er også vigtigt, at virksomheder tager stilling til, hvor meget af arbejdet, de selv kan udføre, og hvor meget ekstern assistance og rådgivning der bliver behov for.

 

Det skal nævnes, at den endelige udformning af databeskyttelsesloven stadig er undervejs, og at Datatilsynet det seneste stykke tid har udgivet en række vejledninger, der kaster lys over fx kravet om databeskyttelsesrådgiver (DPO) og overførsel af persondata til tredjelande.

 

Som slutbemærkning vil vi nævne, at en vis indkøringsperiode i forhold til databeskyttelsesloven forventes. Det er vores overbevisning, at der efter ikrafttrædelsen vil blive anlagt en relativt lempelig holdning fra myndighedernes side, og vi forventer ikke at se avisoverskrifter 26. maj 2018 om uddeling af bøder på flere millioner euro.

frise forsideligenu 5425
DANSK ØLMÆRKE uddeles igen i Køge-området
- vel ikke overraskende for Hugo's er et af Sjællands allerbedste øloaser
Læs mere >
FRISK SURDEJ hos ny bager
Selvom stamkunderne lige har skulle vænne sig til de nye opskrifter, oplever Michael Vangsaa stor tilfredshed blandt kunderne
Læs mere >
JUNIOR CHAMBER INTERNATIONAL starter netværksgruppe i Køge
Vi er +150.000 medlemmer på verdensplan og har haft officielt samarbejde med FN siden 1954. JCI er en udviklings- og netværksorganisation
Læs mere >
DET NYE KRAFTCENTER for idrætslivet i Køge
Med en ny sportshal på Køge Idrætspark skaber Køge Kommune og de eksisterende Køge-haller bedre plads til de mange brugere
Læs mere >
SUCCES TVINGER sparekasse til at flytte
Sparekassen Kronylland slår dørene op for kunderne på adressen Bag Haverne 20 mandag den 9. april.
Læs mere >
'KAPTAJN' på Niels Juel i 25 år
Og da han overtog ledelsen af Hotel Niels Juel den 15. marts 1993 var der god brug for dynamik og nye ideer. Hotellet blev bygget færdigt i 1989 ...
Læs mere >
KØGE HANDEL bakker op om mere enkle p-regler
Parkeringen i Køge er på dagsordenen i byrådet endnu en gang ved det kommende møde i slutningen af måneden, hvor Venstres forslag om at tillade en times gratis parkering ...
Læs mere >
NU STARTER OPFØRELSEN af Køge Idrætspark
Efter mange års venten, kan brugerne af Køge Stadion og Køgehallerne begynde at glæde sig.
Læs mere >
VÆKSTFABRIKKERNE tilbyder lærerige gratis events
I 2018 har du mulighed for at deltage i et utal af spændende og gratis arrangementer.
Læs mere >
nyhedsbrev
uge 22      28. maj - 3. juni 2018
kn logo e frise arkiv II

Køgenu.dk/e

erhvervspartnere:

kne erhvervsservice logo
GLBrevi logo 2130x27
kne partneradvokater farve
Jobcenter hvid bagg eps
kn partner logo hotelnielsjuel
ErhvervsAvisen logo
RKK Skilt kun logo småt

Køgenu.dk

kalenderpartnere:

kn partner logo svoemmeland II
Find os på Facebook
kn partner logo koegekyst
DAGBLADET Avisrulle 2014
Danbolig 2016

Køgenu.dk

minipartnere:

ETK minipartner på Køgenu.dk
Events
AQUACROSSFIT i Køge Svømmeland Kom og brænd dig selv igennem
Udstillinger
KØGE MARITIME MODELBYGGERLAUG har åbent værksted Besøg værkstedet og se de flotte modelskibe
Musik
SVEDIG BLUESFESTIVAL ser dagens lys i Køge For første gang nogensinde får Køge en bluesfestival
Events:
GRILLAFTEN i Indre Mission
Musik:
OPERAAKADEMIET fra Det Kgl. Teater
Events:
MAI-BRITT GULDIN fortæller om sorgreaktioner
Events:
BUSTUR TIL DITLEVSDAL Bison farm i Morud på Fyn
Musik:
KLAVERKONCERTER af Tschaikowsky og Mozart
Musik:
DUO VENTUS på Køge Kammermusik Festival

Køgenu.dk sponsorer:

kn logo 3f koege bund sponsor(1)
kn logo aogj bund sponsor(2)
kn logo dagbladet bund sponsor
kn logo braunstein bund sponsor
kn logo hvid bund sponsor(2)
kn logo hvid bund sponsor(1)
kn logo hvid bund sponsor
koge logo colorcodes
KØGENU.DK
Sjællandske Medier A/S
Torvet 10
4600 Køge

T: 56 65 07 01
LEDELSE
Jan Gløët
T: 21 29 70 88
WEBMASTER
Sjællandske Medier, Køge
T: 56 65 07 01
BOGHOLDERI
Sjællandske Medier
OM KØGENU.DK