Nu går det for alvor løs med GDPR: Her er fem ting, du skal være forberedt på

Her kan du finde fem områder, hvor du kan sætte ind for ikke at ende i fedtefadet med en bøde hængende over hovedet.
Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Datoen i dag, den 25. maj 2018, har sikkert givet både sommerfugle i maven, sved på overlæben og måske endda ligefrem været årsag til irritation over nye regler, der skal implementeres i organisationen.

Jeg vælger dog at se de nye EU-regler som et trin op ad evolutionens digitale stige, hvor data og personlige oplysninger tages mere seriøst.

Opbevaring af personlige og følsomme informationer er nemlig en alvorlig opgave, og GDPR er sat i verden for at beskytte den enkelte borger mod datamisbrug. Det er der ganske meget brug for. Data er blevet en kommerciel vare, hvor der er behov for regulering, hvis vi vil have nogenlunde kontrol over tingene.

Dermed ikke sagt, at det ikke er en udfordring, at komme i mål med projektet. Der er nemlig meget, som skal tænkes igennem.

Det skal nok gå alt sammen

Selv om du ikke lige er blevet færdig på datoen, så er der ingen grund til panik, for verden står selvfølgelig endnu.

Datatilsynet kommer ikke efter dig med bål og brand, men tilsynet vil holde et vågent øje med udviklingen, og det er vigtigt, at du arbejder med persondataforordningen. At du viser interesse og initiativ.

Hvis du ikke allerede er i gang, så er det nu, du skal starte en god proces, skubbe gang i din fortegnelse og se på dine privatlivspolitikker. Hvis du ikke gør det, eller ligefrem handler i ond tro, så kan der vanke bøder i horisonten.

Helt konkret skal du forberede dig på en række ting. Her har jeg udvalgt fem områder, som er velegnede til at starte med.

72 timer, der er vigtige

Dokumentation er et af hovedområderne i Persondataforordningen, for du skal både have styr på dine data og dokumentation for, at det nu også er tilfældet.

Ligeledes skal du forberede dig på, at dine registrerede brugere kan henvende sig til dig for at bede om indsigt i egne oplysninger eller ligefrem ønske at blive slettet helt. Alle registrerede personer har nemlig retten til at få slettet deres data.  

Forordningen pålægger dig også et ansvar for at anmelde alle brud på personsikkerheden inden for en tidsramme på 72 timer, efter du har opdaget bruddet. Husk, at du også har pligt til at underrette alle de implicerede, hvis sikkerhedsbruddet indebærer en høj risiko for de registrerede. Det understreger igen nødvendigheden af en solid datastruktur. Alle sikkerhedsbrud skal desuden dokumenteres i en log.

Og så skal du huske, at data kan gemme sig ’uventede’ steder som i din backup eller i mails, der sagtens kan være interne beskeder. Disse tilfælde skal der også være procedurer for. 

Flere steder, som i uddannelses- og forskningsverdenen hvor jeg slår mine folder, kan der også være brug for en Data Protection Officer (DPO) til at holde styr på, at tingene går sin rette gang.

For nogen er der et krav om en DPO, mens andre kan ønske at udpege en databeskyttelsesrådgiver fordi, det sender et signal om troværdighed og tillid.

Jeg tillader mig lige at indskyde et sjette punkt, fordi jeg synes, at du skal læse Datatilsynets vejledning. Her kan du nemlig få en fornemmelse af, hvordan Persondataforordningen fortolkes.

Så lad os, på trods af arbejdsopgaverne, glædes over, at der er kommet betydelig mere fokus på den enkelte borgers datasikkerhed. Det er til gavn for alle.

God GDPR.

Oprindelig bragt på Computerworld Online den 25. maj 2018