Med EU’s nye persondataforordning defineres persondata bredere end vi kender fra den nuværende persondatalov. Forordningen vil stille flere og større krav til virksomheder og myndigheders datahåndtering. Grundlæggende stilles der med forordningen større krav til håndtering af persondata, hvad angår systemer, processer og organisering af persondataarbejdet i virksomheden. Endvidere er bødeniveauerne for ikke at overholde forordningen på et nyt højere niveau. Implementering af forordningen stiller krav om risikovurdering og konsekvensvurdering hos myndigheder og virksomheder.

Af Annemarie Vitoft og Anders Find, Black Swan Institute, marts 2017

EU har vedtaget en ny persondataforordning, som træder i kraft den 25. maj 2018. Justitsministeriet er i færd med at fortolke forordningen i en dansk kontekst. Persondataforordningen erstatter persondataloven og sikkerhedsbekendtgørelsen og er gældende for virksomheder og offentlige myndigheder, som håndterer personoplysninger. En personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person. Personlysninger kan have en særlig følsom karakter (fx politisk tilhørsforhold, seksualitet, mv.) som gør, at der er skærpede krav til den måde, de behandles på.

Grundstrukturen fra persondataloven er velkendt og fastholdes i den nye forordning, dvs. forordningen regulerer forholdet mellem dataansvarlige (myndigheder og virksomheder, som registrerer personoplysninger), databehandlere (fx it-driftsvirksomheder som behandler data for de dataansvarlige) og de registrerede (borgere og virksomheder/kunder). De grundlæggende principper som fx god databehandlingsskik, proportionalitet og formålsbestemthed er fastholdt. God databehandlingsskik betyder, at den dataansvarlige nøje skal overholde lovgivningen både i ånd og bogstav. Formålsbestemthed betyder, at indsamling af personoplysninger skal ske med et klart sagligt formål. Det er således ikke tilladt at indsamle oplysninger, hvis man blot forventer, at der senere viser sig et formål med indsamlingen. Proportionalitet betyder, at indsamlede personoplysninger ikke må omfatte mere end nødvendigt, formålet taget i betragtning.

Det nye i persondataforordningen er, at borgere og virksomheder, som får registreret deres oplysninger, får styrket deres rettigheder bl.a. i forhold til styrkelse af sikkerheden omkring opbevaring af deres oplysninger og styrkelse af regler for compliance-dokumentation. Endelig er der med forordningen fokus på forbedret håndhævelse med øgede sanktionsmuligheder ved overtrædelse og en væsentlig forøgelse af bødeniveauerne ved overtrædelse. Forordningen åbner mulighed for bøder helt op til 20.000.000 euro eller for virksomheder op til 4 pct. af den samlede årlige omsætning.

Vi vil nedenfor gennemgå fire store ændringer med persondataforordningen, som kan have betydning for din virksomhed og dens måde at håndtere informationssikkerhed og risikostyring på: Forhold vedrørende:  A) compliance og dokumentation,  B) organisering af informationssikkerhedsarbejdet, C) privacy by design ved opbygning af it-systemer, services og processer og D) virksomhedens pligt til at gennemføre konsekvensanalyser

Persondataforordningen er som udgangspunkt en uniform lovgivning, dvs. den er både gældende for offentlige myndigheder og private virksomheder, som håndterer personoplysninger. Der er dog en række skærpede krav til offentlige myndigheder, bl.a. i forhold til organisering og udpegning og kvalificering af en Data Protection Officer (DPO).

A) Compliance og dokumentation

Persondataforordningen udvider kravene til virksomhedernes egenkontrol og dokumentation af den databehandling, som foregår. Det vil sige, at den dataansvarlige skal føre fortegnelser over de databehandlingsaktiviteter, som er under deres ansvar, det drejer sig bl.a. om kontaktoplysninger på dataansvarlige, behandlingens formål, datakategorier, forhold vedrørende eventuel overførsel af data til tredjeland eller international organisation, tidsfrister for sletning og beskrivelse af sikkerhedsforanstaltninger (både tekniske og organisatoriske).

Disse databeskyttelsespolitikker skal kunne stilles til rådighed for tilsynsmyndighederne – eksempelvis Datatilsynet. Herudover skal virksomheden kunne dokumentere, hvilke standarder for informationssikkerheder, som virksomheden er certificeret i. I den danske stat, er myndighederne fx forpligtet til at følge ISO standard 27.001 i informationssikkerhed. Standarden stiller parallelt med forordningen en lang række krav til processer og organisering ift. informationssikkerhedsarbejdet.

Som en del af arbejdet med forordningen og ISO, stilles der krav til, at virksomheden anvender en risikobaseret tilgang til arbejdet med informationssikkerhed. Det betyder, at virksomheden skal gennemføre Data Protection Impact Assessment (DPIA) og risikovurderinger af persondataområder, systemer, processer og organisering med henblik på at identificere trusler og mitigerende handlinger. En DPIA er en vurdering af risici, set fra den registrerede borger eller virksomheds synspunkt, ved at virksomheden og myndigheden behandler individets personoplysninger. DPIA’en sikrer, at de vigtigste temaer i relation til persondatahåndteringen gennemgås og væsentlige risici for de registrerede håndteres. Virksomhedens risikokompetencer bør inddrages i persondataarbejdet og udarbejdelsen af DPIA med henblik på at sikre, at der gennemføres valide og tilbundsgående risikovurderinger, som grundlag for at forberede og tilrettelægge virksomhedens persondatahåndtering.

B) Organisering af informationssikkerhedsarbejdet

De øgede krav til myndigheder og virksomheders håndtering af persondata, skaber behov for at virksomhederne organiserer de nødvendige kompetencer til etablering og drift af persondata, så der opnås compliance. Persondata-arbejdet er omfattende og komplekst og involverer en lang række niveauer og kompetencer i virksomheden.

Offentlige myndigheder, og i særlige tilfælde virksomheder, som håndterer personoplysninger som en del af deres kerneaktivitet skal udpege en Data Protection Officer (DPO – databeskyttelsesrådgiver på dansk), som får ansvaret for virksomhedens persondataarbejde. DPO’en får reference til virksomhedens ledelse. Ledelsen har i sidste ende ansvaret for, at virksomheden lever op til forordningen.

Der stilles særlige krav til DPO’ens kvalifikationer inden for persondataret. DPO’en skal bl.a. følge op på virksomhedens implementering og overholdelse af persondatareglerne i praksis. Det betyder at systemejere, procesejere, projektejere mfl. skal konsultere DPO’en, fx forud for design, udbud, udvikling og opsætning af systemer og processer, som foretager behandling af persondata.

I kravene til DPO’ens kompetencer fokuseres bl.a. på en række juridiske kompetencer, men som det fremgår her, er det vigtigt, at DPO’en udover at kunne arbejde ind med både forretningsprocesser og it-systemer også kan arbejde med risikostyring og/eller har et tæt samarbejde med virksomhedens risikostyrings-kompetencer. Persondata-organisationen kan altså ikke alene løftes med juridiske kompetencer, men har også behov for at blive understøtte af it-, forretnings- og styringsmæssige kompetencer.

Et vigtigt led i det samarbejde bliver jf. nedenstående afsnit 4, at der løbende foretages konsekvensanalyser, og at indsatsen dermed fokuseres på særlige risici inden for persondata. Virksomhedens risk managers på strategisk, operationelt såvel som på projekt- og porteføljeniveau får dermed en vigtig rolle i de nye krav til håndtering af persondata.

C) Privacy by design

Virksomheden har i henhold til forordningen pligt til at indtænke kravene i forordningen i designet af tekniske løsninger og forretningsprocesser og dermed sikre de registrerede rettigheder. Virksomhederne har endvidere pligt til at indbygge privacy (by default) som standardindstilling i it-løsninger med henblik på at sikre de registrerede borgere og virksomheders rettigheder. Det betyder, at databehandlingen skal kunne vælges eller fravælges som et aktivt valg for brugeren, og dermed skal databehandlingsreglerne og brugernes samtykke til at virksomheden må anvende brugerens data tænkes helt ind i udformningen af funktionalitet og brugerdesign.

Kravene til privacy by design gælder ved udvikling af nye it-systemers services og forretningsprocesser og skal ske både i forhold til standardplatforme og –komponenter, tilpasning af eksisterende løsninger, udvikling af nye løsninger samt ved udformning af forretningsprocesser.

Kravene gælder alle led i fødekæden – dvs. både på kundesiden, hos udviklingsleverandører og driftsleverandører samt i alle led af processen – design, kravspecifikation, kontrakt, udvikling, konfigurering og drift. Det stiller en række udvidede rammer op for de funktionelle og nonfunktionelle krav, som virksomheden stiller i forbindelse med anskaffelse af it-systemer og processer.

Virksomheden som dataansvarlig kan således påføre sig store risici fx ved at udlicitere databehandling til 3. part, hvilket skal have stort fokus i et hele udviklings- og driftsforløbet. Det er i den forbindelse vigtigt at pointere, at ansvaret for persondata ikke kan udliciteres til 3. part, men at det stadig påhviler virksomheden at overholde kravene til dataansvar i persondataforordningen.

I privacy by design gælder de grundlæggende persondata-principper, bl.a. at dataindsamlingen skal være proportional, det vil sige, at omfanget skal stå mål med det, det skal anvendes til og den skal være nødvendig, dvs. skal have sin berettigelse i et rimeligt forretningsmæssigt behov og anvendelse (som er til gavn for den registrerede).

Det øgede behov for at indtænke håndtering af persondata i design- og udviklingsprocesser stiller øgede krav til risikostyring og tidlig identifikation af risici knyttet til persondata med henblik på styrke det funktionelle og non-funktionelle design.

D) Virksomhedens pligt til at gennemføre konsekvensanalyser

Som led i implementering og vedligeholdelse af virksomhedens persondataarbejde, er virksomheden forpligtet til at gennemføre konsekvensanalyser. Det betyder, at virksomheden er forpligtet til løbende at anlægge en risikobaseret tilgang til implementering og vedligeholdelse af informationssikkerhed. Virksomheden skal løbende identificere risici ved persondatahåndtering og vurdere mulige konsekvenser ved fx læk, brud og kompromittering af persondata og forpligtes til at arbejde og dokumentere mitigering af disse risici.

Resultatet af den løbende konsekvensanalyse skal således bruge til at tilrettelægge passende sikkerhedsforanstaltninger i designet af systemer og processer. Vurderingen af hvornår noget er høj risiko i relation til persondatahåndteringer tager udgangspunkt i oplysningernes volumen (hvor mange registrerede berøres), særlige forstærkende forhold, fx at de registrerede er børn eller andre sårbare personer, personoplysningernes karakter (graden af følsomhed) samt den potentielle skadevirkning i forhold til krænkelse af integritet, materielle og immaterielle skader.

Det betyder, at konsekvensanalyser og risikovurderinger bliver særlig påkrævet, når en eller flere af ovenstående parametre er til stede i en persondatabehandlingssituation. I en dansk kontekst udarbejder Datatilsynet en liste over de behandlingssituationer, hvor konsekvensanalysen er påkrævet.Metodisk kan konsekvensanalyser og risikovurderinger håndteres med de værktøjer, virksomhedens risk managers har i værktøjskassen. Indholdsmæssigt kan overblikket over persondata, systemer og processer være endog meget komplekst og vanskeligt at risikovurdere og håndtere. Risikoarbejdet i relation til persondataarbejdet bliver centralt og krævende og vil forudsætte input og viden fra mange dele af organisationen og vil kræve en stram risikostyring.

Konklusion

Implementeringen af EU’s persondataforordning kan populært sagt udgøre en risiko i sig selv for danske virksomheder og myndigheder, hvis de ikke tidligt går i gang med forberedelserne til at implementere dens krav i processer, systemer og organisering. Manglende compliance kan udover kompromittering af persondata fører til imagetab og omfattende bøder og sanktioner.

Myndigheder og virksomheder bør anvende en risikobaseret tilgang i deres vurdering af, hvor deres håndtering af persondata særligt kan være udfordret. Det betyder, at der indledningsvis skal skabes overblik over de nuværende processer, systemer og organisering til håndtering af persondata samt skabes et fremtidsbillede af, hvilke ændrede processer og systemer, der skal implementeres som led i at kunne følge forordningen fra maj 2018.

De obligatoriske konsekvensanalyser kan anvendes til at blotlægge, hvor der særligt er trusler mod virksomhedens håndtering af data. Den nye forordning anlægger en bredere definition af persondatabegrebet, hvilket blandt andet betyder, at der stilles skærpede krav til håndtering af medarbejderoplysninger. Herudover skal persondata tænkes helt ind i designet af løsninger og processer. Det betyder fx, at i en koncern, som opbevarer persondata om en kunde i flere forskellige datterselskaber, skal kunden kunne henvende sig ét sted og her få overblik over, hvilke persondata koncernen har registreret om vedkommende samt kunne bede om at få slettet alle disse data i én arbejdsgang. Disse forhold stiller væsentlige krav til systemopbygning, integrationer og sammenhæng i forretningsprocesser på tværs af koncernen.

Arbejdet med implementering af persondataforordning bør ske i et tæt samarbejde mellem virksomhedens forretning, it, jura og risk management – og skal forankres hos topledelsen. Virksomheden bør for at blive klar til maj 2018 allerede nu foretage en foranalyse af, hvilke konsekvenser forordningens krav stiller til virksomhedens datahåndtering – systemer og processer. Virksomheden bør have en risikobaseret tilgang til denne opgave, for at kunne identificere områder med særlig stor risiko for persondatahåndteringen og med henblik på at fokusere indsatsen.

EU’s persondataforordning

DI’s skabelon til DPIA

Læs den fulde artikel i “Risk Management”-håndbogen fra Forlaget Andersen

Black Swan Institute afholder sammen med Forlaget Andersen 20. juni 2017 brush-up-kursus vedr. bla. Persondataforordningen og risikovurderinger