Den nye EU-persondataforordning trådte i kraft i Danmark den 25 maj 2018. Persondataforordningen stiller endnu flere krav til behandling af persondata end hidtil.
Se også relevant kursus: Grundkursus om persondataforordning af maj 2018
Den nye persondataforordning kom til som resultat af øget digitalisering og derfor et behov for at indføre ensartede regler i hele EU. Derudover var der et ønske om øget rettigheder for de registrerede, så de fremadrettet har større kontrol over deres egne data.
De nye regler skal følges af alle, der behandler persondata – altså alle lige fra jobcentrene til børnehaverne – og derfor også dig som offentligt ansat. Er du klar?
Nogle af de nye ændringer, som du skal være klar på, kan du læse om nedenfor.
Data Beskyttelses Rådgiver
En af nyskabelserne er, at visse virksomheder og myndigheder skal have en såkaldt “DBR” (Data Beskyttelses Rådgiver).
En DBR er en person, der skal være ansvarlig for at hjælpe internt/eksternt med overholdelsen af persondatareglerne.
Hvem?
Følgende skal have en DBR:
- Alle offentlige myndigheder (kommuner, styrelser mv.)
- Alle offentligretlige organer (TV2, DR, Nationalbanken, ATP mv.)
- Private virksomheder hvis kerneaktiviteten er enten behandling af personoplysninger, som kræver regelmæssig eller systematisk overvågning i stort omfang eller behandling i stort omfang af følsomme oplysninger eller oplysninger om strafbare forhold.
“Privacy by design” og “Privacy by default”
Den nye persondataforordning introducerer to nye begreber, som du skal have helt styr på inden forordningen går i luften.
Privacy by design
Dette princip betyder, at al jeres IT, jeres sagsgange, jeres kontor osv. skal være designet således, at der er tænkt på beskyttelse af personoplysninger.
Eksempelvis:
- En computerskærm bør ikke stå tæt ved et vindue, hvis der er en offentlig sti lige udenfor (så forbipasserende kan “kigge med”).
- Jeres printer skal ikke printe ud, når I har trykket på “print”. Det skal i stedet gerne lagres i printerens hukommelse, og I går op til printeren og identificerer jer selv (fx. ved fingeraftryk) – og SÅ går den i gang med at printe (og du tager straks dine prints med, så du ikke lader det ligge).
- Jeres IT-sagsbehandlingssystem er indrettet således, at I logger på, og så har i KUN adgang til at se jeres egne sager. Altså ingen adgang til kollegaers sager. “Jamen…” (vil du så sige) “…det er da meget rart, at man kan logge ind på kollegers sager, når de er på ferie og er syge osv…!” Svaret er: Ja, så er det ok, at du har adgang de dage, hvor kollegaen er syg eller på ferie – og ingen andre dage.
Privacy by default
Dette betyder, at udgangspunktet altid skal være, at man beskytter personoplysninger, og så kan fravælge beskyttelsen. Dvs. ikke som det er nu, hvor man som udgangspunkt ikke beskytter personoplysningerne og så kan gøre det.
Eksempler:
- Som nævnt ovenfor skal udgangspunktet være, at man – når man logger på sit sagsbehandlingssystem – alene har tilgang til egne sager.
- De felter, du kan taste oplysninger ind i dit sagsbehandlingssystem, er kun de, du har brug for. Hvis det fx i en sagstype ikke er strengt nødvendigt at bruge CPR-nummeret, så skal der slet ikke være et felt, hvor man kan indtaste CPR-nummeret.
- Dit IT kan være således indrettet, at det løbende selv sletter de personoplysninger, der ikke længere er et behov for at have registreret. Eksempelvis kunne et biblioteks registrering af, at du har lånt en bog, automatisk blive slettet 14 dage efter, at du har afleveret bogen.
Kursus i persondataforordningen
Som du kan se, er der mange processer og skærpede regler, som kan have indflydelse på dine daglige procedurer. Måske skal der endda udvikles nye teknologiske løsninger. Derfor er det en god idé at starte allerede nu. På vores kursus får du en grundig gennemgang af de nye regler, så du er klar til den nye persondataforordning. Læs mere om grundkurset her.
