Persondataforordningen - hvad gør man som SMV?

Written on .

Af Jakob Dedenroth Bernhoft, Cand.Jur og specialist hos RevisorJURA

Det er nok ikke gået mange forbi, at der kom nye regler om beskyttelse af personoplysninger den 25. maj 2018,men gælder den for alle virksomheder? Ofte hører vi virksomheder sige: ”Vi har ikke følsomme personoplysninger, så de regler gælder ikke for os”.
Det er desværre forkert.

Lidt forenklet kan man sige, at alle virksomheder, som har ansatte og/ eller kunder, er omfattet af stort set alle reglerne i den nye forordning. Alle almindelige personoplysninger er omfattet af de fleste af reglerne.
For følsomme oplysninger gælder ekstra skrappe regler. Hvad er så almindelige personoplysninger? I kassen nedenfor fremgår eksempler på hvad almindelige personoplysninger kan være og der er langt flere. Kriteriet er, om en oplysning kan henføres til en person – fortæller den noget om en person. Fx. er oplysningen om hvorvidt en person er en mand en personoplysning, selv om man ud oplysningen ikke entydigt kan identificere en bestemt person. Her kræver det en række andre personoplysninger.

Det kan fx være arbejdsplads kombineret med hvorvidt pågældende er straffet. Langt de fleste personoplysninger, som virksomheder behandler, hører til i kategorien ”almindelige”. Det er faktisk ganske få personoplysning i kategorien ”følsom”. De fremgår af kassen nedenfor ude til højre – og der er ikke flere. I en typisk virksomhed vil man ofte kun støde på følsomme oplysninger blandt de oplysninger, som er gemt om personale. Det kan være oplysning om helbred, hvorvidt vedkommende har været straffet, eller medlem af en fagforening.

 

 

CPR. nr. udgør en særlig kategori, da denne personoplysning ikke er følsom i forordningens forstand, men underlagt særlige danske regler, som i realiteten gør, at det skal behandles som en følsom oplysning.

Hvad betyder det så at være omfattet af persondataforordningen?

Når man behandler persondata, stilles en lang række krav så som at man: 

- Ikke må gemme flere personoplysninger end nødvendigt.
- Skal slette personoplysninger når man ikke har brug for dem. 
- Skal indgå databehandleraftaler, hvis man bruger databehandlere som fx lønbureau.
- Skal have en oversigt over de oplysninger, som man gemmer om personale. 
- Skal opbevare oplysninger om personale ekstra omhyggeligt. 
- Skal vide hvad man skal gøre hvis en person vil bruge ”retten til at blive glemt”. 
- Der skal være en tilstrækkeligt behandlingssikkerhed.
- Give forskellige oplysninger til personer, hvis man gemmer (”behandler”) oplysninger om dem. 

Det er ikke nok at følge reglerne. Man skal også udarbejde skriftlig dokumentation for, at man rent faktisk gør det. Reglerne er på det punkt anderledes end mange andre regler. Normalt er det sådan, at det er myndighederne, som skal dokumentere, at en borger ikke overholder reglerne, hvis de mener at regler ikke bliver fulgt. Persondatareglerne er modsatte, da det er virksomheden, som skal dokumentere, at den rent faktisk følger reglerne.

Hvad kan man selv gøre for at komme i gang?

Det er ikke alle reglerne i persondataforordningen, som er helt enkle at gå til, men i praksis er det ikke så meget juraen, som er udfordringen. Man kan starte med at se på hvor man bruger persondata i sin virksomhed. Det gør man ofte langt flere steder end man lige tror. Dernæst sørge for at beskytte disse data tilstrækkeligt og endeligt - en lavt hængende frugt - tjek om hjemmesiden lever op til reglerne.

1. Få overblik over, hvordan virksomheden bruger persondata

Personoplysningerne findes ofte flere steder i virksomheden, end man lige tror. Det kan fx dreje sig om:

2. Hvor er der risiko for sikkerhedsbrud? Hvordan kan man reducere risici?

I en undersøgelse, som Erhvervsstyrelsen for nyligt har offentliggjort, fremgår, at 55% af alle SMV’er har et lavt sikkerhedsniveau. 37% har end ikke de helt basale sikkerhedsforanstaltninger på plads, som fx firewall, antivirus og backup. Det er et forretningsmæssigt problem, men i mange tilfælde også en overtrædelse af persondataforordningen, som stiller krav om den fornødne IT-sikkerhed. 95 % af SMV’er er afhængige af deres IT-systemer i deres daglige drift, hvoraf 70 procent har en høj afhængighed. Samtidig så fremgår det at 14 % siger de har været ude for et sikkerhedsbrud, mens 28% har hørt om virksomheder, som har været ude for det.

Først skal man se på hvilke risikofaktorer, som er i virksomheden. Det kunne fx være:

- Phishing angreb (Mail hvor afsender udgivers sig for en anden med henblik på at kompromittere IT-sikkerheden)
- Ransomware (Skadelige programmer, som installeres og låser computeren)
- Hacket hjemmeside og/eller IT-system
- Tab og/eller tyveri af medier (USB, CD, bærbare PC, servers, mv.) med fortrolig information
- Sabotage/tyveri udført af tidligere medarbejder
- Direktørsvindel (Hackere som udgiver sig for at være direktøren og forsøger at få overført penge til udenlandske konti)
- Social Engineering (hackerangreb ved fysisk eller telefonisk henvendelse)
- DDoS/ DoS-angreb (hackerangreb) hvor systemer/hjemmesider eksponeret på internettet, bliver bombarderet med falske og ondsindede forespørgsler/besøg, med henblik på at gøre systemet/hjemmesiden utilgængelig

Kilde: IT-sikkerhed og datahåndtering i danske SMV’er, Erhvervsstyrelsen

Dernæst hvor alvorligt det vil være, hvis der sker et datalæk: Hvornår bruges følsomme eller fortrolige oplysninger samt oplysninger om CPR nr. eller lovovertrædelser, og hvornår bruger vi blot almindelige oplysninger såsom navn, adresse, telefonnummer? Hvem behandler vi oplysninger om – børn, politikere eller andre offentlige personer? Behandler virksomheden helbredsoplysninger som fx. læger og kiropraktorer? Jo alvorligere konsekvensen er ved at data bliver lækket, og jo større sandsynligheden er for det, jo højere er risikoen. Dette kan illustreres med følgende koordinatsystem: Befinder man sig oppe til højre i det røde område, gælder det om at komme ned mod det grønne område. Fx kan man komme frem til, at en smartphone med adgang til virksomhedens persondata uden adgangskode udgør en høj risiko for et sikkerhedsbrud, dvs. befinder sig i det højre røde felt øverst til højre på figuren. Hvad kan man gøre for at reducere denne risiko? Hvor alvorlig konsekvensen er af, at persondata bliver lækket, er ofte vanskeligt at gøre noget ved. Som eksempel kan man bruge cpr. nr., som bliver lækket. Det er under alle omstændigheder alvorligt for den pågældende person og det kan man ikke gøre så meget ved.

Det er derimod lettere at mindske sandsynligheden for at det sker via smartphonen. Man kan fx sørge for, at der kommer adgangskode på den, at man via smartphonen ikke har adgang til følsomme data og have en fast procedure for, hvad man skal gøre, hvis man mister sin telefon. Vedrørende sidstnævnte så kunne det være at kontakte den IT-ansvarlige, som har fjernadgang til at slette data på telefonen, hvis den er koblet på et netværk. Når det drejer sig om små virksomheder med en almindelig IT-brug, så kommer man langt med lidt snusfornuft: sørg for at sikkerhedssoftwaren hele tiden er opdateret (filtrering af spam, virus, phishing m.v.) og det gælder også for styresystemerne. Sørg for backup og brug stærke password - engang var et af de mest udbredte password faktisk ”password”! Sørg for at skærpe opmærksomheden hos medarbejderne. De udgør den største sikkerhedsrisiko, og det er dem, som får trykket på linket i en mail, som de aldrig skulle have trykket på!

3. Tjek jeres hjemmeside

Mange indsamler persondata gennem deres hjemmeside. Det kan fx være en kontaktboks, hvor man kan indtaste navn, tlf. nr. m.v. hvis man gerne vil kontaktes af virksomheden. Samtidig indsamles der normalt data ind ved brug af cookies. Man må kun indsamle sådanne oplysninger, hvis man giver forskellige lovpligtige oplysninger. Disse kaldes ofte for ”cookiepolitik” og ”persondatapolitik”. Det er ret nemt for Datatilsynet og andre, som interesserer sig for det, at se om en hjemmeside følger reglerne på dette punkt. Og gør man ikke det, så viser det sig ofte i praksis, at man heller ikke på andre områder følger persondatareglerne. En mulighed er at kontakte sin leverandør af hjemmesiden og bede denne om at få indsat de nødvendige oplysninger, så hjemmesiden bliver lovlig.

Hvad kan der ske, hvis man ikke følger reglerne?

Det er som nævnt klart en overtrædelse af persondataforordningen, hvis man er dataansvarlig eller databehandler og ikke har den fornødne IT-sikkerhed. Sker der et sikkerhedsbrud i ens virksomhed og kunders data bliver lækket til uvedkommende, så står man først og fremmest med et stort problem overfor kunder, men der er heller ingen tvivl om, at Datatilsynet ikke ser på sagen med milde øjne, hvis man har haft en helt utilstrækkelig IT-sikkerhed. Det samme er tilfældet, hvis man mangler relevante fortegnelser over persondata – typisk personaleoplysninger - mangler databehandleraftaler og ikke har den fornødne dokumentation på plads. Faktum er dog, at risikoen for, at Datatilsynet kommer på kontrolbesøg er beskeden. Der findes mange tusinde virksomheder i Danmark og Datatilsynet har alene ressourcer til at kontrollere ganske få af dem. Alligevel skal man ikke vide sig for sikker på, at man ikke ufrivilligt kommer en tur forbi Datatilsynet. Det kan fx ske hvis en utilfreds kunde eller en tidligere medarbejdere føler anledning til at klage over den behandling, som virksomheden har fortaget af deres persondata. Skulle der ske læk af data – fx ved at en medarbejder sender personoplysninger til en forkert kunde – så har man selvsagt et problem i forhold til den pågældende kunde og det vil også kunne udløse en klage. Der får man igen et problem, hvis det viser sig, at man ikke følger reglerne i persondataforordningen.

 Artiklen er skrevet og hentet fra FSR.dk