9 måneder med GDPR – Hvad har vi lært?

Gå tilbage

9 måneder med GDPR – Hvad har vi lært?

Årets ord i 2018 blev ”hvidvask”, men for langt de fleste danske virksomheder var det ord som GDPR, persondataforordningen og databehandleraftaler, der fyldte mest.

Det er nu 9 måneder siden persondataforordningen trådte i kraft. Databeskyttelsesloven er trådt i kraft i stedet for persondataloven, og kalenderen er gået fra 2018 til 2019. Men hvad har vi egentligt lært siden den 25. maj 2018, hvor forordningen trådte i kraft, og hvilke hovedkonklusioner kan vi drage ud fra de erfaringer, vi har fået?

2019 bliver krypteret

Datatilsynet meldte i juli 2018 ud, at de fra den 1. januar 2019 anser det for ”nødvendigt”, at e-mails som indeholder følsomme og fortrolige oplysninger sendes krypteret. Hvilke typer oplysninger, der er følsomme er klart defineret i persondataforordningen, hvorimod fortrolige oplysninger skal defineres gennem praksis. Da vi endnu ikke har praksis på området, anbefaler vi indtil videre, at du fortolker fortrolige oplysninger i overensstemmelse med Datatilsynets fortolkning, som du kan læse her. Du kan også læse mere om reglerne for kryptering af e-mails på Datatilsynets hjemmeside.

Ingen kære mor

Vi har i 2018 løbende været i kontakt med Datatilsynet, som desværre sjældent giver konkrete svar eller udmeldinger. Dog står én ting klart. Datatilsynet forvente, at alle danske virksomheder har været 100% compliant siden den 25. maj 2018, og Datatilsynet tager ikke hensyn til praktiske eller pragmatiske løsninger. Derfor kan vi også forvente, at Datatilsynet fremadrettet vil lægge vægt på især kryptering, begrænsning af medarbejderadgange i systemer og regler for sletning af data.

Hvornår har du sidst læst dine databehandleraftaler igennem?

I forbindelse med introduktionen af persondataforordningen, fik rigtig mange danske virksomheder travlt med at indgå databehandleraftaler. Mange havde ikke prøvet at forhandle databehandleraftaler før, og derfor oplevede vi, at forhandlingerne var lidt som ”det vilde vesten”. I dag har vi dog et langt bedre kendskab til ”standarderne” på området, og det er blevet lettere for os at gennemskue, hvornår en databehandleraftale indeholder urimelige eller uholdbare vilkår.

Årsskiftet er et godt tidspunkt til at gennemse de databehandleraftaler du har indgået, og eventuelt genforhandle dem, hvis aftalerne ikke er holdbare. Husk, at en databehandleraftale kun har værdi, hvis begge parter i aftalen kan og vil overholde aftalens indhold.

Vi har gennem vores kontakt med Datatilsynet erfaret, at Datatilsynet ikke ser det som en formildende omstændighed, at styrkeforholdet mellem dig og din databehandler er ulige. Datatilsynet har overfor os tilkendegivet, at hvis en databehandler som eksempelvis Facebook eller Microsoft stiller urimelige krav eller ikke overholder persondataforordningen, bør du skifte til en anden udbyder.

Hos WTC har vi forståelse for, at forhandlinger om databehandleraftaler er en udfordring for mange virksomheder, og vi opfordrer dig derfor til at kontakte os, hvis du har brug for sparring om dine databehandleraftaler.

Udbyg din risikoanalyse

Persondataforordningen kræver, at du løbende evaluerer risikoniveauet i din virksomhed. Derfor er det vigtigt, at du løbende gør status over den virkelighed, som din virksomhed befinder sig i.

Vi ser, at Datatilsynet lægger større vægt på detaljerne end mange havde forestillet sig de ville gøre. Sørg derfor for, at du imødekommer Datatilsynets standarder og opdaterer din risikoanalyse, så du kan dokumentere, at du tager datasikkerheden i din virksomhed alvorligt.

Har du spørgsmål?

Har du spørgsmål til artiklen eller vil du vide mere om risikoanalyser, eller nogle af de andre ovenstående punkter, er du velkommen til at kontakte os.

Kontakt en ekspert på området

Har du spørgsmål vedrørende GDPR eller persondata, er du meget velkommen til at kontakte os.

Få mere viden

GDPR i 2019 – Hvad skal du gøre?

Persondataforordningen har været uhåndgribelig for mange, og de komplicerede regler er typisk blevet kritiseret for at være ukonkrete og uforståelige for alle andre end juristerne i Bruxelles. Det vil vi gerne lave om på, og derfor har vi lavet en kort liste med håndgribelige tiltag og opgaver, som din virksomhed skal igennem i 2019.

Læs mere »