Kommende EU-lov om personfølsomme data kan koste dyrt

En væsentlig stramning af EU-reglerne, for hvordan persondata skal behandles og opbevares, kan være på vej i 2017. Hvis den gennemføres, vil danske virksomheder blive stillet over for skrappe krav for behandling af persondata, – og sanktionerne vil være i millionklassen, hvis reglerne ikke efterleves. Af Tina Søndergaard.

Nu advarer advokat og ekspert i persondataloven Karina Lind Bertelsen om at virksomheder, som ikke har styr på den nuværende lovgivning, kan komme i ganske alvorlige problemer, hvis den nye EU-forordning vedtages.

Virksomheder, som har rod i de personfølsomme data, skal nemlig kunne straffes med op til 5 pct. af deres globale omsætning dog maksimalt 100 millioner euro.

Sløseri kan true virksomheders eksistens

Den nuværende lovgivning på området er præget af en vis lempelighed, og der er en tendens til, at mange virksomheder kan slippe af sted med sløseriet med en løftet pegefinger.Karina Lind Bertelsen

”Det er min klare oplevelse, at en lang række virksomheder famler noget i blinde i forhold til, hvordan de skal håndtere personoplysninger om deres medarbejdere, kunder m.v.,” fortæller Karina Lind Bertelsen.

Med den nye forordninger er der lagt op til en markant stramning af sanktionerne i forbindelse med overtrædelse af forordningen. Derfor opfordrer Karina Lind Bertelsen virksomhederne til at få styr på de gældende regler på området, så en ændring i procedurer omkring personfølsomme data nemmere kan indføres, hvis forordningen vedtages.

”Få styr på hvad der gælder nu, inden de nye regler kommer. For de bliver så markant skrappere, at det er en stor fordel at være på forkant nu,” lyder rådet fra Karina Lind Bertelsen.

Læs også: NETS eller et nyt sikkert alternativ

Det kan du gøre for at sikre din virksomhed

Jakob Illeborg Pagter, CTO i Sepior og forsknings- og innovationschef for Security Lab, Alexandra Instituttet, mener dog, at Jakob Illeborg Pagterdet er helt muligt for de danske virksomheder at undgå at overtræde EUs formodede stramning af reglerne. Han ser mindst to konkrete ting, virksomhederne kan gøre:

“Det ene er at lægge håndteringen af brugeroplysninger over på en anden ‘provider’ som eksempelvis: Login med NemID.  Når man bruger en anden ID-provider, gør det ens virksomhed mindre sårbar. Allerhelst skal man lave løsninger, hvor brugerne kan vælge den eller de ID-providers man bedst kan lide, hvilket blandt andet kræver at man lægger sig op ad standarder som OpenID Connect og OAuth,” forklarer Jakob Illeborg Pagter og fortsætter:

“Den anden tilgang er kryptering. Det, vi gør i Sepior, er at lave krypteringsløsninger til cloudproviders, så man gør noget for at beskytte de personfølsomme data, som man opbevarer i clouden.”

Han fortæller også, at der i EUs forslag er lagt op til, at hvis man som virksomhed tager sine forholdsregler, vil man blive stillet til regnskab i mindre grad, end hvis man ikke gjorde det. Så i tilfælde af at der sker en lækage af personfølsomme data fra ens virksomhed, så vil strafudmålingen være afhængig af, om der er gjort seriøse tiltag for at beskytte data eller ej.

Læs også: Sepior får investering til at beskytte cloud-data mod hacking

Fakta om den nuværende persondatalov

Karina Lind Bertelsen forklarer, at den nuværende persondatalov gælder hver gang personlige oplysninger registreres enten elektronisk eller manuelt. Som dataansvarlig har man en lang række forpligtelser over for de personer, der registreres oplysninger om, – blandt andet skal der indhentes samtykke.

Hvad mange ikke ved, er, at der i en række tilfælde også er pligt til at oplyse Datatilsynet om de registreringer, som virksomheden foretager.

Hovedpunkterne i loven kan du få et overblik over herunder:

• Persondataloven omfatter både offentlige myndigheder, private virksomheder, foreninger m.v.
• Loven gælder al elektronisk behandling af personoplysninger og manuel behandling af personoplysninger, når oplysningerne er indeholdt i et register
• Det overordnede formål med loven er at sikre, at den enkelte borgers retsbeskyttelse og integritet ikke krænkes i forbindelse med behandling af personoplysninger.

Læs også

Top