Persondata skal bag lås og slå

En ny og omfattende dataforordning rækker ud til alle ledere og medarbejdere, der indsamler og registrerer personlige informationer om borgere, ansatte, kunder og klienter.

Forordningen kommer i kølvandet på en lang række sager fra blandt andet den offentlige sektor herhjemme. Datatilsynets liste over overtrædelser er efterhånden et langt synderegister over hacking, lækager og misbrug af især det unikke cpr-nummer.

Ny lov til maj

GDPR (General Data Protection Regulation) afløser et 20 år gammelt direktiv og træder i kraft den 25. maj. Fra den dag kan virksomheder og offentlige organisationer få bøder i millionklassen, hvis ikke de sikrer, at personoplysningerne behandles i overensstemmelse med loven.

− Er din opgave at håndtere råvarer eller tilberede dagens menu, er der ikke så meget på spil. Men så snart du er involveret i pakning af mad, eventuelt til mennesker med en diagnose, udarbejder individuelle kostplaner eller bestiller varer fra en pc, som rummer data om borgerne, skal du klædes på til at håndtere EU’s skærpede persondataforordning.

Det siger formanden for Rådet for Digital Sikkerhed, Henning Mortensen. Han underviser blandt andet organisationer og studerende på IT-Universitetet i, hvordan de nye regler skal implementeres.

Hvis er ansvaret

Henning Mortensen understreger, at det juridiske ansvar for at sikre og beskytte data ikke ligger hos de ansatte, men hos en juridisk enhed og i praksis hos arbejdsgiveren. Det er organisationen, myndigheden eller virksomheden, der skal sørge for, at it-systemerne lukker persondata ind bag lås og slå, og at medarbejderne bliver rustet til at håndtere de nye regler.

− Men de dataansvarlige sidder ofte i et administrativt elfenbenstårn. Derfor er det en vigtig pointe, at medarbejderne inddrages i at kortlægge systemer og arbejdsprocesser og ved, hvordan dataindsamling foregår i praksis, siger han.

Et langt synderegister

Forordningen kommer i kølvandet på en lang række sager fra blandt andet den offentlige sektor, hvor borgernes cpr-numre eller andre personlige oplysninger er blevet hacket eller ved en fejl er blevet lækket til andre borgere.

På mange måder indvarsler den nye EU-forordning et paradigmeskift. Tidligere har det ikke haft særlig store konsekvenser at overtræde loven. EU har bare måttet konstatere, at ingen rigtig efterlevede den. Men det ændrer de nye, store bødesanktioner på, mener formanden for Rådet for Digital Sikkerhed.

Sikkerheden skal dokumenteres

Alle organisationer og virksomheder skal fremover kunne dokumentere, at de overholder reglerne, hvis Datatilsynet kommer på uanmeldt inspektion. De skal fremvise beskrivelser af, hvordan de har sikret de persondata, der bliver opsamlet i kontakten med borgerne.

Centralt i forordningen er, at borgerne har en række rettigheder, og dem vil de i stigende grad konfrontere frontlinje-medarbejdere med.

− Flere og flere vil kræve indsigt i, hvilke data myndigheder og virksomheder opbevarer om dem og evt. forlange at få data udleveret eller slettet, forudser Henning Mortensen.

− Antallet af sager, hvor borgerne kræver det ene og det andet i forhold til persondata, vokser støt. Jeg er ret sikker på, at borgerne kommer til at gøre mere og mere brug af deres rettigheder. Måske kommer alle fremtidens it-portaler til at have en ‘indsigtsknap’, hvor man kan klikke for at få adgang til at se, hvad organisationen eller virksomheden har liggende af data om en, fortæller han.

Reglerne om indsigtsret gælder i øvrigt også ansatte, påpeger han.

− Vil du som medarbejder vide, hvad din arbejdsgiver ved om dig, kan du kræve at få data udleveret.

Øget sikkerhed

Henning Mortensen erkender, at den nye forordning kommer til at kræve ressourcer af både ledelse, medarbejdere og HR-afdelinger.

− Men grundlæggende er det her rigtig godt. Reglerne vil betyde, at vi får hævet sikkerheden i forbindelse med håndteringen af folks persondata. Efter den 25. maj kan vi være mere trygge ved digitalisering.