temaer
DATABESKYTTELSESELOVEN banker på døren - og hvad så?

Af revisor Søren Windahl, GLB Revison Køge december 2017

 

2017 går på hæld, og der er ikke så lang tid til 25. maj 2018 – en dato, der nærmest er bøjet i neon i rigtig mange danske virksomheders bevidsthed. For nogle et neonskilt, der holder dem vågne i nattemørket, siger Martin Brogaard Nielsen, it-revisor 

 

Som læseren nok allerede ved, så er det datoen, hvor den kommende databeskyttelseslov træder i kraft, og den store interesse for og omtale af ændringerne til lovgivningen vil kun vokse, des nærmere vi kommer ikrafttrædelsen.

 

Idet lovgivningen gælder for stort set alle virksomheder og myndigheder i større eller mindre grad, er lovændringerne det seneste års tid blevet et af de væsentlige fokusområder i dansk erhvervsliv.

 

Som det tidligere er blevet omtalt her i FACIT, er ændringerne ikke så store, som de bliver gjort til. Populært sagt er den eksisterende persondatalov og den kommende databeskyttelseslov 80 % identiske og altså med få – men dog væsentlige – forskelle.

 

Med andre ord: Det er evolution, ikke revolution. Det er nok ikke helt forkert at antage, at grundmotivationen for det øgede fokus er udsigten til barskere sanktioner, kombineret med den tsunami i en tekop, der efterhånden er blevet pisket op.

 

Det er her, vi finder sagens kerne (eller i alt fald en af dem). Hvis en typisk dansk virksomhed i SMV-segmentet i forvejen efterlever den eksisterende persondatalov, skal der i princippet kun foretages justeringer. Hvis virksomheden ikke efterlever nuværende lovgivning, så er det ved at være nu, at arbejdet skal sættes i gang.

 

Sådan kommer virksomheder i gang med ”den praktiske del af festen”

Virksomheder skal gennem samme forløb i forhold til efterlevelse af databeskyttelsesloven, uanset deres modenhedsgrad. Omfanget af det arbejde, som den enkelte virksomhed skal lægge i processen, afhænger af omfanget af den eksisterende kortlægning, procedurer mv., og dermed vil virksomheder, der i dag efterlever persondataloven, opleve et hurtigere og mere smidigt forløb.

 

Arbejdet hen mod efterlevelse af databeskyttelsesloven består af fire faser:

 

FASE 1: Foranalyse og fortegnelse

• Foranalyse af virksomhedens situation

• Udarbejdelse af persondatafortegnelse

 

FASE 2: Udarbejdelse af informationssystem

• Struktur for overførsel, behandling og tilgang til persondata

• Politikker, procedurer, retningslinjer

 

FASE 3: Implementering af informationssystemet

• Forankring i organisationen

• Bevidstgørelse af medarbejdere, evt. tilpasning af systemer

 

FASE 4: Vedligeholdelse af informationssystemet

• Udarbejdelse af årshjul for løbende vurdering af informationssystemet

• Regelmæssig gennemgang af processer og procedurer

 

 

 

Foranalyse og fortegnelse (fase 1)


 

Foranalysen handler om at få skabt et overblik over de relevante elementer i virksomheden i forhold til håndtering af persondata. Det omfatter virksomhedens data, informationsstruktur, it-systemer, kunder, databehandlere og dataansvarlige mv. Med andre ord en kortlægning over virksomhedens persondata og behandling af samme.

 

På baggrund af foranalysen udarbejdes en fortegnelse over de persondata, virksomheden har, og hvor meget persondata det drejer sig om. Det kan fx vise sig, at virksomheden har mange interne persondata i form af HR-data som følge af et stort antal medarbejdere og derfor kontinuerlig rekruttering. Til gengæld behandles måske kun en begrænset mængde af persondata om kunder.

 

Fortegnelsen vil herudover vise, hvad virksomheden bør gøre, og den fungerer dermed som en form for en vejviser i forhold til, hvilke forhold der skal håndteres (databehandleraftaler, politikker, instrukser mv.).

 

Et konkret eksempel i forhold til brug af underleverandører kunne være, at der benyttes et eksternt lønsystem. I den situation skal der dels udarbejdes en databehandleraftale, og dels skal det sikres, at leverandøren af lønsystemet har etableret betryggende kontroller, herunder at man som kunde hos dem for eksempel kan indhente en revisorerklæring som dokumentation for overholdelse af reglerne.

 

Det kan herudover tænkes, at virksomheden skal begrænse adgang til bestemte data, at der skal udarbejdes en it-sikkerhedspolitik, eller at der skal udarbejdes interne instrukser til medarbejdere. Det er alt sammen forhold, alle virksomheder bør dokumentere, for at vise over for sig selv, Datatilsynet eller andre, at der er taget stilling.

 

Der findes skabeloner til fortegnelsen, og en sådan kan også indhentes hos din revisor, hvor skabelonen endda også indeholder en meget simpel form for dataflow. Omfang, type og behandling af persondata varierer fra virksomhed til virksomhed, så fortegnelsen vil se meget forskellig ud fra virksomhed til virksomhed.

 

 

Udarbejdelse af informationssystem (fase 2)


 

Med fortegnelsen har virksomheden en køreplan for fase 2. Slutmålet med denne anden fase er at få et informationssystem udarbejdet og implementeret; en struktur for, hvordan persondata overføres, behandles og tilgås.

 

Som et konkret eksempel kan vi forestille os, at en virksomhed skal rekruttere en ny medarbejder. En HR-medarbejder modtager adskillige ansøgninger, som indeholder persondata. Alle ansøgninger gemmes i en mappe på fællesdrevet, og de ti mest relevante ansøgninger videresendes til et par ledere. En af lederne vælger at sende et par af ansøgningerne videre til en underordnet for at høre hendes holdning.

 

Dermed ligger der nu persondata, i form af ansøgninger, adskillige steder i virksomheden – på fællesdrevet (og hvem har adgang til mappen?), i diverse ind- og udbakker i mailprogrammer, og måske der også er blevet printet et par eksemplarer af ansøgningerne.

 

Hvilke procedurer har virksomheden etableret for at sikre, at disse persondata bliver slettet? Formålet med informationssystemet er bl.a. at sørge for, at der aktivt er taget stilling til en situation som denne, og at de korrekte handlinger bliver udført.

 

Det er vigtigt at understrege, at der ikke er tale om et decideret it-system, men et informationssystem. Et eller flere it-værktøjer kan indgå i systemet, men med informationssystem menes en kollektiv betegnelse for sikkerhedspolitik, procedurer, databehandleraftaler, interne instrukser mv.

 

I forbindelse med informationssystemet skal også udarbejdes sikkerhedspolitik, procedurer, databehandleraftaler, interne instrukser mv., som understøtter korrekt databehandling og -beskyttelse. Virksomheden skal altså danne sig et overblik over, hvilke persondata der håndteres, og tage stilling til, hvordan behandlingen foregår.

 

 

Implementering af informationssystemet (fase 3)


 

Når informationssystemet er beskrevet og etableret, skal det implementeres i organisationen, så virksomheden efterlever de udarbejdede procedurer og politikker. Nogle af elementerne i informationssystemet vil ikke vedrøre alle medarbejdere – eksempelvis procedurer for håndtering af ansættelseskontrakter. Til gengæld vil alle medarbejdere skulle bevidstgøres om virksomhedens it-sikkerhedspolitik. En del af implementeringen kan også være, at it-systemer skal tilpasses, fx etablering af adgangsbegrænsning.

 

 

Vedligeholdelse af informationssystemet (fase 4)


 

Når informationssystemet er implementeret, og alt kører som det skal, er det vigtigt at vedligeholde det, så det altid er ajour. Det er en god idé at udarbejde et årshjul, som fx omfatter kvartalsmæssig gennemgang af processer og procedurer, inkl. undersøgelse af at procedurerne følges. Det er også vigtigt løbende at vurdere, om elementer i informationssystemet skal tilpasses.

 

Efterlevelse kan sagtens nås – og den store hammer falder nok ikke omgående

Selv om ikrafttrædelsen af databeskyttelsesloven nærmer sig, kan virksomheder stadig nå at forberede sig. Selv de mindst forberedte virksomheder kan via et målrettet forløb nå at blive klar.

 

Uanset modenhedsniveauet anbefaler vi, at alle virksomheder snarest får udarbejdet føromtalte fortegnelse, der vil tjene som første spadestik til efterlevelse af databeskyttelsesloven og hjælpe med at demonstrere accountability (ansvarlighed) og gennemsigtighed. Det er også vigtigt, at virksomheder tager stilling til, hvor meget af arbejdet, de selv kan udføre, og hvor meget ekstern assistance og rådgivning der bliver behov for.

 

Det skal nævnes, at den endelige udformning af databeskyttelsesloven stadig er undervejs, og at Datatilsynet det seneste stykke tid har udgivet en række vejledninger, der kaster lys over fx kravet om databeskyttelsesrådgiver (DPO) og overførsel af persondata til tredjelande.

 

Som slutbemærkning vil vi nævne, at en vis indkøringsperiode i forhold til databeskyttelsesloven forventes. Det er vores overbevisning, at der efter ikrafttrædelsen vil blive anlagt en relativt lempelig holdning fra myndighedernes side, og vi forventer ikke at se avisoverskrifter 26. maj 2018 om uddeling af bøder på flere millioner euro.

frise forsideligenu 5425
”NU FÅR MAN HELT LYST til at få en lærling”
Køge Kommunes projekt med titlen ’Flere lærlinge’ fjerner bøvlet og letter administrationen ...
Læs mere >
PRISER til erhvervsfolk
Køge Jobs & Society har overrakt sin årlige Iværksætterpris til den unge Tobias Thomas fra TT-Film
Læs mere >
ENIGE POLITIKERE SENDER Køge Idrætspark et skridt videre
114 millioner kroner. Det er prisen for at bygge et nyt stadion og en ny Hal 3 i Køge, og på tirsdagens byrеdsmøde skulle der tages stilling til at
Læs mere >
EJERLEDERE MANGLER OFTE en exitplan - men ikke Joost
Joost El ApS er igennem de seneste 12 еr vokset fra en lille el-installatør til en virksomhed, der i dag har 12 ansatte inklusiv to lærlinge
Læs mere >
FREMTIDENS BOLIGER bliver bygget i Herfølge
Fremtidssikret byggeri med plads til flere generationer og fokus på bæredygtighed.
Læs mere >
NU SKAL KØGES VIRKSOMHEDER være blandt de bedste på nettet
Succes Online har til formål at hjælpe små og mellemstore danske virksomheder med at gribe de mange muligheder, der ligger i digitaliseringen
Læs mere >
WEBINARER med info fra SKAT
SKAT afholder jævnligt både informationsmøder lokalt omkring i landet og webinarer, hvor du kan deltage fra din arbejdsplads.
Læs mere >
HURTIGT IND på de europæiske markeder
Lean Landing har til formål at få små og mellemstore virksomheder hurtigt ind på nye europæiske markeder.
Læs mere >
AKTIVE MEDARBEJDERE FRA Senior Erhverv Sjælland Øst
Optimismen i dansk erhvervsliv er stadig for opadgående her på Østsjælland og dermed grobunden for økonomisk fremgang
Læs mere >
nyhedsbrev
uge 5      29. januar - 4. februar 2018
tirsdag 30. januar kl. 12:00
SALGSTOUR: Skab vedvarende salgssucces >
uge 15      9. - 15. april 2018
torsdag 12. april kl. 09:00
KONFERENCE OM DE STORE projekter i Køge >
kn logo e frise arkiv II

Køgenu.dk/e

erhvervspartnere:

kne erhvervsservice logo
GLBrevi logo 2130x27
kne partneradvokater farve
Jobcenter hvid bagg eps
kn partner logo hotelnielsjuel
ErhvervsAvisen logo
RKK Skilt kun logo småt

Køgenu.dk

kalenderpartnere:

kn partner logo svoemmeland II
Find os på Facebook
kn partner logo koegekyst
DAGBLADET Avisrulle 2014
Danbolig 2016

Køgenu.dk

minipartnere:

ETK minipartner på Køgenu.dk
Events
BUSTUR TIL DITLEVSDAL Bison farm i Morud på Fyn – med middag og guidet tur
Udstillinger
KØGE MUSEUM – historie for hele familien Oplev krudt, kugler, kjoler, kaos, køjer, knogler og kendisser i vores udstillinger
Musik
ESTER BROHUS med band på Teaterbygningen Ester Brohus tilbage på Teaterbygningen med sit dejlige band
Events:
AFTENÅBENT i Køges butikker ...
Musik:
BJERAGER / GRUE /DAMLUND spiller op til Roskildebal
Musik:
FORÅRSBAL med Køge Spillemandsforening
Events:
PIGERNE PÅ SPROGØ – et foredrag om et kvindehjem
Musik:
FORÅRSBAL med Køge Spillemandsforening
Musik:
BJERAGER / GRUE /DAMLUND spiller op til Roskildebal

Køgenu.dk sponsorer:

kn logo 3f koege bund sponsor(1)
kn logo aogj bund sponsor(2)
kn logo dagbladet bund sponsor
kn logo braunstein bund sponsor
kn logo hvid bund sponsor(2)
kn logo hvid bund sponsor(1)
kn logo hvid bund sponsor
koge logo colorcodes
KØGENU.DK
Sjællandske Medier A/S
Torvet 10
4600 Køge

T: 56 65 07 01
LEDELSE
Jan Gløët
T: 21 29 70 88
WEBMASTER
Sjællandske Medier, Køge
T: 56 65 07 01
BOGHOLDERI
Sjællandske Medier
OM KØGENU.DK