Systemer og procedurer skal testes nu: Kan du fjerne persondata fra jeres backup?

Skønt persondataforordningen først bliver håndhævet fra næste år, er det på høje tid at sikre, at I kan overholde kravene, skriver Henrik Larsen fra DKCERT i denne klumme.
Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

For et par år siden forlod en medarbejder din virksomhed. De sidste udeståender om skat og feriepenge er ude af verden.

Kan I slette alle oplysninger om medarbejderen i jeres it-systemer? Kan I slette data om medarbejderen i jeres sikkerhedskopier?

Det sidste punkt vil nok volde mange organisationer problemer. Men det er et krav i EU's generelle databeskyttelsesforordning.

Måske tænker du, at det kan vente. Den gælder jo først fra den 25. maj 2018.

Men det er ikke rigtigt. Fra den 25. maj 2018 bliver kravene i forordningen håndhævet. Det er med andre ord sidste frist til at få styr på dem, før det får konsekvenser.

Databeskyttelsesforordningen, der også går under navnet "persondataforordningen", indfører fælles regler i alle EU-lande for behandlingen af data om personer.

Den afløser det direktiv fra 1995, der ligger til grund for Danmarks nuværende persondatalov.

Et bærende princip i forordningen er, at borgerne har indflydelse på, hvordan data om dem behandles.

Vi har ret til at blive glemt
Retten til at blive glemt er en konsekvens. Som der står i Artikel 17 stk. 1:

"Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende."

Det første forhold, der nævnes, er meget enkelt: Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet.

Det kan fx være data om en kunde, der ikke længere handler i ens netshop.

Her har organisationen altså pligt til at slette data.

Hvornår er data slettet?
Hvornår er data så slettet? Er det tilstrækkeligt, at de ikke længere er aktive i driftssystemerne? Eller skal enhver sikkerhedskopi også renses?

I praksis vil det være meget vanskeligt at fjerne alle oplysninger om en person fra alle kopier. Nogle sikkerhedskopier kan være arkiveret på dvd'er eller andre medier, der ikke kan redigeres i.

Her vil det i sidste ende kræve, at sikkerhedskopien indlæses, persondata slettes, hvorefter der gemmes en ny sikkerhedskopi og den oprindelige destrueres.

Hvor skrappe de tekniske krav bliver, ved vi endnu ikke. Det må retspraksis vise - måske kommer der certificerede teknologiske løsninger, man kan vælge.

Men prøv at udføre tankeeksperimentet: Hvor godt vil jeres virksomhed eller organisation være i stand til at opfylde kravene i databeskyttelsesforordningen?

Det er vigtigt at tænke forordningen ind i jeres procedurer og systemer allerede nu.

For eksempel skal I gennemføre en "konsekvensanalyse vedrørende databeskyttelse", hvis jeres databehandling medfører en høj risiko for personers data.

I skal være forberedt på at behandle brud på datasikkerheden. Således skal I være i stand til at anmelde et brud til Datatilsynet inden for 72 timer.

Skal I have en DPO?
Nyt i forordningen er også kravet om, at nogle organisationer og virksomheder skal have en databeskyttelsesrådgiver eller DPO (Data Protection Officer). Det gælder alle offentlige institutioner.

Private virksomheder og organisationer skal have en databeskyttelsesrådgiver, hvis behandling af persondata er deres primære opgave - eller hvis de systematisk indsamler data om mange personer.

Databeskyttelsesrådgiverens opgave er primært at sikre, at organisationen overholder forordningens krav.

De danske universiteter er allerede godt i gang med at forberede sig på opgaven. De ser blandt andet på muligheden af at lade flere institutioner deles om en databeskyttelsesrådgiver.

Tilsyn får sanktionsmuligheder
Hvis I allerede har styr på persondataloven og sikkerhedsbekendtgørelsen, er I godt på vej. Hovedparten af bestemmelserne i den nye forordning ligner dem, vi kender i forvejen.

En meget vigtig forskel er imidlertid, at Datatilsynet nu får reelle sanktionsmuligheder.

I dag er tilsynets stærkeste magtmiddel reelt, at det kan skrive sin kritik i en afgørelse med fed skrift.

Men efter den 25. maj 2018 får myndighederne mulighed for at udstede bødeforlæg og for at forbyde visse databehandlinger med høj risiko.

Jeg tror, at en del organisationer og virksomheder hidtil har taget meget let på kravene i persondataloven. De ser Datatilsynet som en papirtiger, så risikoen ved ikke at overholde loven opfattes som lille.

Det vil ændre sig.

Dermed kan indførelsen af databeskyttelsesforordningen føre til et højere sikkerhedsniveau generelt - og især inden for beskyttelsen af persondata.


Oprindelig offentliggjort på Computerworld Online den 27. januar 2017