temaer
DATABESKYTTELSES-LOVEN banker på døren - og hvad så?

Af revisor Søren Windahl, GLB Revison Køge december 2017

 

2017 går på hæld, og der er ikke så lang tid til 25. maj 2018 – en dato, der nærmest er bøjet i neon i rigtig mange danske virksomheders bevidsthed. For nogle et neonskilt, der holder dem vågne i nattemørket, siger Martin Brogaard Nielsen, it-revisor 

 

Som læseren nok allerede ved, så er det datoen, hvor den kommende databeskyttelseslov træder i kraft, og den store interesse for og omtale af ændringerne til lovgivningen vil kun vokse, des nærmere vi kommer ikrafttrædelsen.

 

Idet lovgivningen gælder for stort set alle virksomheder og myndigheder i større eller mindre grad, er lovændringerne det seneste års tid blevet et af de væsentlige fokusområder i dansk erhvervsliv.

 

Som det tidligere er blevet omtalt her i FACIT, er ændringerne ikke så store, som de bliver gjort til. Populært sagt er den eksisterende persondatalov og den kommende databeskyttelseslov 80 % identiske og altså med få – men dog væsentlige – forskelle.

 

Med andre ord: Det er evolution, ikke revolution. Det er nok ikke helt forkert at antage, at grundmotivationen for det øgede fokus er udsigten til barskere sanktioner, kombineret med den tsunami i en tekop, der efterhånden er blevet pisket op.

 

Det er her, vi finder sagens kerne (eller i alt fald en af dem). Hvis en typisk dansk virksomhed i SMV-segmentet i forvejen efterlever den eksisterende persondatalov, skal der i princippet kun foretages justeringer. Hvis virksomheden ikke efterlever nuværende lovgivning, så er det ved at være nu, at arbejdet skal sættes i gang.

 

Sådan kommer virksomheder i gang med ”den praktiske del af festen”

Virksomheder skal gennem samme forløb i forhold til efterlevelse af databeskyttelsesloven, uanset deres modenhedsgrad. Omfanget af det arbejde, som den enkelte virksomhed skal lægge i processen, afhænger af omfanget af den eksisterende kortlægning, procedurer mv., og dermed vil virksomheder, der i dag efterlever persondataloven, opleve et hurtigere og mere smidigt forløb.

 

Arbejdet hen mod efterlevelse af databeskyttelsesloven består af fire faser:

 

FASE 1: Foranalyse og fortegnelse

• Foranalyse af virksomhedens situation

• Udarbejdelse af persondatafortegnelse

 

FASE 2: Udarbejdelse af informationssystem

• Struktur for overførsel, behandling og tilgang til persondata

• Politikker, procedurer, retningslinjer

 

FASE 3: Implementering af informationssystemet

• Forankring i organisationen

• Bevidstgørelse af medarbejdere, evt. tilpasning af systemer

 

FASE 4: Vedligeholdelse af informationssystemet

• Udarbejdelse af årshjul for løbende vurdering af informationssystemet

• Regelmæssig gennemgang af processer og procedurer

 

 

 

Foranalyse og fortegnelse (fase 1)


 

Foranalysen handler om at få skabt et overblik over de relevante elementer i virksomheden i forhold til håndtering af persondata. Det omfatter virksomhedens data, informationsstruktur, it-systemer, kunder, databehandlere og dataansvarlige mv. Med andre ord en kortlægning over virksomhedens persondata og behandling af samme.

 

På baggrund af foranalysen udarbejdes en fortegnelse over de persondata, virksomheden har, og hvor meget persondata det drejer sig om. Det kan fx vise sig, at virksomheden har mange interne persondata i form af HR-data som følge af et stort antal medarbejdere og derfor kontinuerlig rekruttering. Til gengæld behandles måske kun en begrænset mængde af persondata om kunder.

 

Fortegnelsen vil herudover vise, hvad virksomheden bør gøre, og den fungerer dermed som en form for en vejviser i forhold til, hvilke forhold der skal håndteres (databehandleraftaler, politikker, instrukser mv.).

 

Et konkret eksempel i forhold til brug af underleverandører kunne være, at der benyttes et eksternt lønsystem. I den situation skal der dels udarbejdes en databehandleraftale, og dels skal det sikres, at leverandøren af lønsystemet har etableret betryggende kontroller, herunder at man som kunde hos dem for eksempel kan indhente en revisorerklæring som dokumentation for overholdelse af reglerne.

 

Det kan herudover tænkes, at virksomheden skal begrænse adgang til bestemte data, at der skal udarbejdes en it-sikkerhedspolitik, eller at der skal udarbejdes interne instrukser til medarbejdere. Det er alt sammen forhold, alle virksomheder bør dokumentere, for at vise over for sig selv, Datatilsynet eller andre, at der er taget stilling.

 

Der findes skabeloner til fortegnelsen, og en sådan kan også indhentes hos din revisor, hvor skabelonen endda også indeholder en meget simpel form for dataflow. Omfang, type og behandling af persondata varierer fra virksomhed til virksomhed, så fortegnelsen vil se meget forskellig ud fra virksomhed til virksomhed.

 

 

Udarbejdelse af informationssystem (fase 2)


 

Med fortegnelsen har virksomheden en køreplan for fase 2. Slutmålet med denne anden fase er at få et informationssystem udarbejdet og implementeret; en struktur for, hvordan persondata overføres, behandles og tilgås.

 

Som et konkret eksempel kan vi forestille os, at en virksomhed skal rekruttere en ny medarbejder. En HR-medarbejder modtager adskillige ansøgninger, som indeholder persondata. Alle ansøgninger gemmes i en mappe på fællesdrevet, og de ti mest relevante ansøgninger videresendes til et par ledere. En af lederne vælger at sende et par af ansøgningerne videre til en underordnet for at høre hendes holdning.

 

Dermed ligger der nu persondata, i form af ansøgninger, adskillige steder i virksomheden – på fællesdrevet (og hvem har adgang til mappen?), i diverse ind- og udbakker i mailprogrammer, og måske der også er blevet printet et par eksemplarer af ansøgningerne.

 

Hvilke procedurer har virksomheden etableret for at sikre, at disse persondata bliver slettet? Formålet med informationssystemet er bl.a. at sørge for, at der aktivt er taget stilling til en situation som denne, og at de korrekte handlinger bliver udført.

 

Det er vigtigt at understrege, at der ikke er tale om et decideret it-system, men et informationssystem. Et eller flere it-værktøjer kan indgå i systemet, men med informationssystem menes en kollektiv betegnelse for sikkerhedspolitik, procedurer, databehandleraftaler, interne instrukser mv.

 

I forbindelse med informationssystemet skal også udarbejdes sikkerhedspolitik, procedurer, databehandleraftaler, interne instrukser mv., som understøtter korrekt databehandling og -beskyttelse. Virksomheden skal altså danne sig et overblik over, hvilke persondata der håndteres, og tage stilling til, hvordan behandlingen foregår.

 

 

Implementering af informationssystemet (fase 3)


 

Når informationssystemet er beskrevet og etableret, skal det implementeres i organisationen, så virksomheden efterlever de udarbejdede procedurer og politikker. Nogle af elementerne i informationssystemet vil ikke vedrøre alle medarbejdere – eksempelvis procedurer for håndtering af ansættelseskontrakter. Til gengæld vil alle medarbejdere skulle bevidstgøres om virksomhedens it-sikkerhedspolitik. En del af implementeringen kan også være, at it-systemer skal tilpasses, fx etablering af adgangsbegrænsning.

 

 

Vedligeholdelse af informationssystemet (fase 4)


 

Når informationssystemet er implementeret, og alt kører som det skal, er det vigtigt at vedligeholde det, så det altid er ajour. Det er en god idé at udarbejde et årshjul, som fx omfatter kvartalsmæssig gennemgang af processer og procedurer, inkl. undersøgelse af at procedurerne følges. Det er også vigtigt løbende at vurdere, om elementer i informationssystemet skal tilpasses.

 

Efterlevelse kan sagtens nås – og den store hammer falder nok ikke omgående

Selv om ikrafttrædelsen af databeskyttelsesloven nærmer sig, kan virksomheder stadig nå at forberede sig. Selv de mindst forberedte virksomheder kan via et målrettet forløb nå at blive klar.

 

Uanset modenhedsniveauet anbefaler vi, at alle virksomheder snarest får udarbejdet føromtalte fortegnelse, der vil tjene som første spadestik til efterlevelse af databeskyttelsesloven og hjælpe med at demonstrere accountability (ansvarlighed) og gennemsigtighed. Det er også vigtigt, at virksomheder tager stilling til, hvor meget af arbejdet, de selv kan udføre, og hvor meget ekstern assistance og rådgivning der bliver behov for.

 

Det skal nævnes, at den endelige udformning af databeskyttelsesloven stadig er undervejs, og at Datatilsynet det seneste stykke tid har udgivet en række vejledninger, der kaster lys over fx kravet om databeskyttelsesrådgiver (DPO) og overførsel af persondata til tredjelande.

 

Som slutbemærkning vil vi nævne, at en vis indkøringsperiode i forhold til databeskyttelsesloven forventes. Det er vores overbevisning, at der efter ikrafttrædelsen vil blive anlagt en relativt lempelig holdning fra myndighedernes side, og vi forventer ikke at se avisoverskrifter 26. maj 2018 om uddeling af bøder på flere millioner euro.

frise forsideligenu 5425
NY IT-BUTIK med teknikere
Ny IT-butik i Rådhusstrædet i Køge centrum tilbyder rådgivning og reparation af IT-udstyr
Læs mere >
FAKTA OG IRMA åbner 14. juni 2018 på Stationspladsen
Sæt allerede nu kryds i kalenderen ud for torsdag 14. juni. En dag, der bare skriger på, at man skal rykke ud med indkøbsposerne under armen og handle igennem
Læs mere >
HANSTHOLM KØKKEN åbner i Køge
I august åbner Hanstholm Køkken en ny konceptbutik på Brogade i hjertet af Køge. Hermed breder de nye ejere, Søren Overgaard og Carsten B. Andersen, de stolte håndværkstraditioner
Læs mere >
KOM INDENFOR i Danmarks vildeste diner
Nu er der langt om længe nyt om hvornår Irma Køge flytter til Strædet ved Køge Station
Læs mere >
BANEDANMARK ELEKTRIFICERER mellem Køge Nord og Næstved
Den 11. maj begynder Banedanmark at lægge mastefundamenter ud mellem Køge Nord og Næstved
Læs mere >
JUBILÆUMSBRAG i systuen
»skal der være fest - så lad der være fest«. Der vil være hidtil usete priser på udvalgte produkter og nogle rigtig flotte gaver ...
Læs mere >
STOR JOBMESSE på Teaterbygningen i Køge
Mød over 40 forskellige virksomheder og uddannelsesinstitutioner
Læs mere >
POSTNORD TÆNKER stort i Køge
Den nye 25.000 kvm store gods- og pakketerminal har kørt et par dage inden den officielle indvielse
Læs mere >
IRMA KØGE GØR KLAR til et brag af en genåbningsfest
Nu er der langt om længe nyt om hvornår Irma Køge flytter til Strædet ved Køge Station
Læs mere >
nyhedsbrev
kn logo e frise arkiv II

Køgenu.dk/e

erhvervspartnere:

kne erhvervsservice logo
GLBrevi logo 2130x27
kne partneradvokater farve
Jobcenter hvid bagg eps
kn partner logo hotelnielsjuel
ErhvervsAvisen logo
RKK Skilt kun logo småt

Køgenu.dk

kalenderpartnere:

kn partner logo svoemmeland II
Find os på Facebook
kn partner logo koegekyst
DAGBLADET Avisrulle 2014
Danbolig 2016

Køgenu.dk

minipartnere:

ETK minipartner på Køgenu.dk
Events
SØNDAGSÅBENT i Køges butikker ... Kom til en hyggelig søndag i Køge centrum
Udstillinger
FORMAT ARTSPACE i Køge Kunstforening Galleriet ´Art Space’ fra Nansensgade i København holder sommerferie i Køge
Musik
SKARS BLUES BAND: Ølfestival-jazz i Hugos Kælder – med erfarne musikere fra den danske rock- og bluesscene
Events:
WHISKYFESTIVAL 2018 hos Braunstein & Friends
Musik:
JACOB BELLENS: Akustisk trio koncert
Events:
OKTOBERFEST på Theilgaards
Events:
RUNDVISNING I BOTANISK HAVE i Solgårdsparken
Musik:
CAROLINE HENDERSON: Julekoncert i Køge Kirke
Musik:
LIS SØRENSEN kommer tilbage på Bygningen

Køgenu.dk sponsorer:

kn logo 3f koege bund sponsor(1)
kn logo aogj bund sponsor(2)
kn logo dagbladet bund sponsor
kn logo braunstein bund sponsor
kn logo hvid bund sponsor(2)
kn logo hvid bund sponsor(1)
kn logo hvid bund sponsor
koge logo colorcodes
KØGENU.DK
Sjællandske Medier A/S
Torvet 10
4600 Køge

T: 56 65 07 01
LEDELSE
Jan Gløët
T: 21 29 70 88
WEBMASTER
Sjællandske Medier, Køge
T: 56 65 07 01
BOGHOLDERI
Sjællandske Medier
OM KØGENU.DK