GDPR

Siden år 2000 har offentlige myndigheder været pålagt at anvende kryptering, når der sendes mails med fortrolige og følsomme oplysninger.

Nu bliver det så også et krav, at den private sektor anvender kryptering af digitale forsendelser af fortrolige og følsomme personoplysninger med e-mail via internettet.

Siden 2008 har denne praksis kun været en anbefaling for den private sektor.

Tilsynet begrunder blandt andet beslutningen med databeskyttelsesforordningens krav.

Den finske virksomhed, Polar, er nok mest kendt for sine digitale løbe- og fitness-ure. Men nu er virksomheden blevet hevet ind i en kontroversiel strid om it-sikkerhed.

Firmaet har derfor valgt at lukke ned for det globale aktivitetskort, der kan vise motionsruter for brugerne af virksomhedens produkter.

Det skyldes, at journalister har benyttet tjenesten til at finde identiteter på militær- og efterretningspersonale.

Det er den hollandske avis DeCorrespondent og online-researchere fra gruppen Bellingcat, der har udnyttet svagheden i Polar-produktet.

GDPR er, som mange nok allerede har bemærket, det helt store samtaleemne lige nu. Og der hersker stadig en del usikkerhed omkring, hvad reglerne kræver, og hvordan reglerne efterleves tilfredsstillende.

Nu åbner EU så et websted, hvor du kan blive lidt klogere på regler og krav i forbindelse med GDPR.

Siden er lanceret af Det Europæiske Databeskyttelsesråd, der er et uafhængigt europæisk organ, som bidrager til en ensartet anvendelse af databeskyttelsesreglerne i hele EU og skal fremme samarbejdet mellem EUs databeskyttelsesmyndigheder. 

I dag er det store GDPR-dag.

Det betyder, at en EU-forordning, som har til formål at styrke og harmonisere beskyttelsen af personoplysninger i EU, træder i kraft. Forordningen omhandler dog også databehandling, som sker uden for EU eller overførsel af personoplysninger ud af EU. 

Der stilles nu en række krav, blandt andet om, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede, der også har ret til at få slettet data om sig selv.

På fredag den 25. maj træder EU’s Persondataforordning (GDPR – General Data Protection Regulation) i kraft. Dansk Erhverv har regnet på, hvad beskyttelsen af data kommer til at koste for de danske virksomheder.

Dansk Erhverv har set på omkostninger forbundet med at blive klar til at leve op til GDPR, baseret på indberetninger fra 415 medlemsvirksomheder.

Forventningen til GDPR-udgifterne for erhvervslivet løber, ud fra analysen, op i 8 milliarder kroner. Dertil kommer de årlige udgifter til vedligehold, som Dansk Erhverv dog ikke specificerer yderligere.

EU's databeskyttelsesforordning stiller krav om, at dataansvarlige skal anmelde brud på persondatasikkerheden til Datatilsynet. Tilsynet har udsendt en vejledning i, hvordan det kan ske i praksis.

Vejledningen indeholder blandt andet en definition af, hvornår der er tale om et brud på persondatasikkerheden. Ifølge forordningen er det: "Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet."

EU's databeskyttelsesforordning (GDPR) stiller krav til indholdet af databehandleraftaler. Det er de aftaler, som en dataansvarlig (fx en myndighed) indgår med firmaer, der behandler data på deres vegne.

Aftalen angiver, hvordan databehandleren skal behandle de personoplysninger, der indgår som led i opgaven. Herunder ligger også kravene til beskyttelse af data – altså informationssikkerhed.

Datatilsynet har nu udarbejdet en skabelon, som myndigheder og virksomheder kan tage udgangspunkt i.

Morten Eeg Ejrnæs Nielsen fra DKCERT er formand for styregruppen i en nyoprettet taskforce i GÉANT-regi. Task Force Data Protection Regulation (TF-DPR) beskæftiger sig med databeskyttelsesforordningen og dens konsekvenser for nationale og internationale forskningsnet.