Ny ransomware i omløb – Red Rabbit
July 5, 2022Velkommen til det nye zantio.dk
July 6, 2022
I dag ligger der store mængder af følsomme persondata i virksomhedernes fagsystemer, som er bundet op til den nuværende persondatalov. Inden den nye EU-persondataforordning træder i kraft i 2017 og erstatter den nuværende persondatalov, skal kommuner, virksomheder og organisationer, der beskæftiger sig med persondata, sikre, at de efterlever forordningens nye og skærpede krav.
Virksomheder og organisationer kommer med andre ord til at bruge ressourcer på at forberede sig på at kunne efterleve persondataforordningen, så kunder og brugeres tillid til virksomhederne og deres behandling af i mange tilfælde følsomme personoplysninger ikke mistes.
Nogle af principperne i persondataforordningen er:
- Skærpet krav til dokumentation af samtykke
- Styrkelse af den registreredes rettigheder
- Right-to-be-forgotten (retten til at blive glemt)
- Risikobaseret krav om privacy by design og privacy by default
- Risikobaseret krav om, at virksomheden/myndigheden skal kunne dokumentere, at man overholder reglerne (accountability)
- Pligt til at orientere Datatilsynet og i nogle tilfælde også de registrerede i tilfælde af datasikkerhedsbrister (hackerangreb mv.)
- Data Protection Officer i offentlige myndigheder og visse private virksomheder
- Bøder på op til 4 % af global årlig omsætning
Ansvaret for beskyttelse af data ligger hos den enkelte virksomhed eller organisation. Dette ansvar kan ikke fraskrives eller outsources. Det er op til hvert land at beslutte, om offentlige instanser vil få bøder for ikke at overholde lovgivningen, og fra dansk side har man meldt ud, at det anses for grundlovsstridigt. Med den kommende EU-persondataforordning skærpes sanktionsmulighederne mod kommercielle virksomheder, og bødeniveauet stiger her markant og kan få konsekvenser for virksomhedens økonomi.
Den nye persondataforordning vil stille større krav til, at virksomhederne forholder sig til, hvilke personoplysninger der behandles i organisationen, og at de i vid udstrækning indfører en forhøjet egenkontrol og dokumentation af deres datastrømme.
Dette kræver imidlertid grundig forberedelse og dialog med organisationen om, hvordan man skal arbejde fremadrettet. Men hvordan opnår man det fornødne overblik over, hvilke personoplysninger der behandles i organisationen? Hvordan dokumenterer man, at reglerne overholdes? Hvordan involverer man forretningsområder i organisationen? Og hvor er det mest optimalt at forankre arbejdet med persondata, herunder stillingen som Data Protection Officer (DPO), så virksomheden succesfuldt implementerer og efterlever forordningen?
Office 365 og krav om udarbejdelse af databehandleraftaler
Har man valgt at outsource databehandlingen til en tredjepart eller at opbevare persondata i en cloud-løsning, er det vigtigt at skabe sig et overblik over, hvilke eksterne partnere der er tale om – og om virksomheden har indgået de lovpligtige aftaler med de databehandlere, der behandler personfølsomme oplysninger på vegne af den.
Læs mere om, hvornår du er henholdsvis dataansvarlig og databehandler her
For har man ikke indgået de såkaldte databehandleraftaler, eller er virksomhedens aftaler utilstrækkelige, bør man forholde sig til dette med det samme og få udarbejdet og opdateret aftalerne.
Ser vi på Microsoft, er de underlagt EU-Kommissionens standardkontraktbestemmelser (EU Model Clauses). Standardkontrakter vedrørende Office 365 er således underlagt disse, og det betyder, at Microsoft er forpligtet til at underlægge sig kravene som databehandler.
Persondataforordningen vil ikke medføre, at cloudbaserede ydelser som Office 365 ikke kan benyttes fremover – men den digitale udvikling, hvor mange data sendes over internettet, gør udfordringerne med at beskytte persondata meget større, og det betyder, at virksomheder og organisationer i højere grad skal forholde sig til, hvorledes data opbevares og behandles, samt at der er udarbejdet fyldestgørende databehandleraftaler.
Dette arbejde kan for mange virksomeder blive væsentligt lettere ved brug af de compliance-værktøjer, der findes indbygget i Office 365, og som skal konfigureres til at overholde reglerne. Tilsvarende regler har i længere tid været gældende i USA, hvorfor de teknologiske muligheder allerede findes i Office 365 og med stor fordel kan bringes i anvendelse.
Selvhjælpsværktøjer
Der findes flere ”selvhjælpsværktøjer”, som organisationer og virksomheder kan benytte for at teste, om de lever op til gældende lovkrav, og hvad der skal arbejdes videre med, hvis de ønsker at forberede sig til den kommende EU-persondataforordning. Se fx:
Awareness og forankring af persondataforordningen
Med skærpelsen af fremtidens krav til organisationers behandling af personfølsomme data er den organisatoriske forankring af persondataforordningen vigtig, så ledelse og udvalgte medarbejdere, herunder DPO’en, succesfuldt kan efterleve lovgivningen. KL slår bl.a. til lyd for dette i forbindelse med landet kommuner.
Kilde.:Globeteam.com
