Hvis vi skal bevare tilliden til digitaliseringen i vores samfund og høste gevinsterne ved at dele informationer og persondata med hinanden, så skal vi ikke prøve at bluffe os til en formel efterlevelse af EU-persondataforordningen. Vi skal forstå hvorfor, og hvad der forventes af os og ændre vores adfærd der, hvor det er nødvendigt. Alle taber, hvis vi ikke tager vare på hinandens personoplysninger og respekterer ånden i forordningen.
Ingen tjekliste, men et paradigmeskift i datahåndtering
EU’s persondataforordning er på vej, og det skaber røre. Det vrimler med konferencer og eksperter, der vil hjælpe virksomheden med et ”quick fix” – det være sig advokater, it-sikkerhedsfolk eller proceskonsulenter. Vi møder således ofte virksomheder, der først og fremmest er ude efter en tjekliste, så de kan være sikre på at leve op til de nye regler.
Men sandheden er, at forordningen ikke implementeres med en tjekliste, og det er ikke nok med juridisk eller teknisk indsigt. EU’s persondataforordning er et paradigmeskift for håndteringen af persondata, og jo hurtigere du forstår den nye virkelighed, jo bedre.
Det handler om dem, ikke os
Først og fremmest handler forordningen ikke om os, virksomheder og organisationer, men om dem, borgerne, medarbejderne og kunderne. Formålet er at beskytte rettighederne for de mennesker, hvis persondata virksomheden opbevarer. Derfor er det vigtigste at forstå, at det er borgerens data. Virksomheden låner persondata i en begrænset periode og har et ansvar for at tage vare på dem, det er kernen.
Ordentlighed er vigtigere end compliance
Derfor gælder det om at behandle personoplysninger ordentligt, og det gør man bedst ved at følge forordningens ånd, og ikke kun dens bogstav. Formålet er ikke så meget en 100 procent-efterlevelse, det er noget nær umuligt, men derimod bevisligt at efterleve formålet med forordningen. Det er, hvad virksomhederne bliver målt på. Ikke kun af myndighederne, men også af markedet, kunderne. Evnen til at håndtere persondata ansvarligt vil i stigende grad blive en konkurrenceparameter og folkets dom kan ende med at være den hårdeste.
De syv styrende principper
Heldigvis er det relativt enkelt at sætte sig ind i formålet med forordningen. Det er nemlig udtrykt i de syv styrende principper, beskrevet i artikel fem. Hvis du taber tråden undervejs i de 99 artikler, kan du altid gå tilbage til de syv principper og se, hvad det grundlæggende handler om, nemlig beskyttelse af borgernes rettigheder.
- Lovlighed, rimelighed og gennemsigtighed.
Oplysningerne skal behandles lovligt, rimeligt og på en gennemsigtig måde for den registrerede. Man kan altså ikke dække sig ind bag juridiske aftaler, hvis de ikke er rimelige og klare. - Formålsbegrænsning
Oplysningerne må fremover kun indsamles til eksplicit angivne saglige formål, og må ikke anvendes til andre formål end de er indsamlet til. Vi går fra nice-to-have til need-to-have.
- Dataminimering
Som en naturlig konsekvens af princip nummer 2, bør virksomheden som princip arbejde på at minimere mængden af persondata. Fordi det er en byrde at råde over data, man ikke har brug for, vil vi se virksomheder, der begynder at skubbe tilbage og afvise data, fordi de pålægger virksomheden en ekstra omkostning. - Rigtighed
Virksomheden skal kunne stå inde for rigtigheden af sine persondata. Du må ikke have urigtige personoplysninger liggende, men skal sikre dig deres validitet, også selv om du ikke bruger disse data aktivt. - Opbevaringsbegrænsning
Dette princip er endnu en ”game changer” i forhold til, hvad mange virksomheder er vant til. I datamæssig forstand skal de skifte ”fra helkonserves til mejeriprodukter”. Mange persondata må kun opbevares i seks måneder, og der skal derfor konstant holdes øje med udløbsdatoen. - Integritet og fortrolighed
Oplysningerne skal beskyttes mod ubemyndiget eller ulovlig behandling, ødelæggelse og beskadigelse. - Ansvarlighed.
De dataansvarlige har ansvaret for og skal kunne dokumentere, at grundprincipperne er overholdt. Dette ansvar er mange steder ikke placeret.
Tre trin til at komme i gang
- Start med det nærliggende
Det vil være vanskeligt at overholde forordningen 100 procent og hele tiden, men det er vigtigere at komme i gang og demonstrere, at de grundlæggende principper er forstået. Mange virksomheder vil således kunne nå langt ved at gennemgå de medarbejderrelaterede persondata, man ligger inde med, hvorfor det er et godt sted at starte. Kunde- og borgerdata er et andet vigtigt fokusområde.
- Målet er et levedygtigt økosystem – en reel persondatapraksis
Mange virksomheder har indtil nu håndteret persondata efter bedste evne, men det er ikke en holdbar vej frem. Virksomheden bliver nødt til at etablere en persondatapraksis, der er tro mod de syv principper. Denne praksis skal derfor beskrives, så den kan kontrolleres og fremvises som bevis på det arbejde, der udføres.En sådan praksis består af en organisering (roller, ansvar), og en række discipliner i form af processer og kontroller, der løbende kan forbedres.
- En DPO er ikke nok; få organisationen med
Det er ofte de samme virksomheder, der beder om en tjekliste, der ligeledes tror, at sagen er løst ved at udnævne en DPO (Data Protection Officer, på dansk en persondatarådgiver). Det er ganske rigtigt et krav, at visse virksomheder skal udnævne en DPO, som er de registreredes repræsentant overfor den dataansvarlige (de registreredes ombudsmand), men én person alene kan ikke planlægge, bygge og drive en persondatapraksis. I stedet bør virksomheden overveje hvilke kompetencer, der kræves til at skabe den nødvendige forandring i adfærd og digital behandling af persondata. En for tidlig udnævnelse af en DPO kan anspore de dataansvarlige i virksomheden til fejlagtigt at tro, at det ikke længere er deres ansvar at håndtere persondata korrekt. Det kan vanskeliggøre implementeringen og forvrænge det ellers ønskede resultat. En persondatapraksis fungerer naturligvis ikke uden en organisation, der er med på ideen. Én person kan ikke fikse det, og derfor gælder det om at få alle relevante personer involveret og engageret. Det kræver stærk forankring og dygtig forandringsledelse af en erfaren projektleder.
Afbalanceret økonomi
Økonomien spiller selvfølgelig også en rolle i en virksomheds overvejelser, og her er det vigtigt at bemærke, at indsatsen skal være afbalanceret i forhold til størrelse og formåen. Hvis en virksomhed omsætter for fx 10 millioner kroner, forventer myndighederne ikke, at der bruges fire millioner på at overholde forordningen, men der vil stadig være en forventning om at gøre en reel indsats for korrekt behandling af persondata.
Tre kernekompetencer er nødvendige
En af de væsentlige udfordringer ved at implementere forordningens krav i praksis er, at det ikke kan rummes af én person og at det kræver en holdindsats at lykkes med opgaven. Hvis man kun tager fat i et område, f.eks. det juridiske, så kommer man formentlig til at mangle dele af implementeringen.
Man bør derfor sikre sig, at disse kompetencer er repræsenteret i projektet:
- Tekniske it-kompetencer til at sikre it-understøttelse og digitalisering af arbejdsgangene.
- Juridiske kompetencer til at tilpasse aftaler med kunder og leverandører.
- Ledelse- og forretning til at sikre, at arbejdsgange og adfærd justeres efter behov.
Syv kernediscipliner
- Aftaler og kontrakter
De aftaler, vi har med kunder/borgere, skal være letforståelige og klare, så det ikke bliver juridiske røgslør. Underleverandører skal på samme måde indgå databehandleraftaler. - Sikkerhed
Dette er en klassisk disciplin, hvor vi tager vare på fortrolighed og integritet og behandler risici, når vi bliver opmærksomme på dem. - Juridisk gennemgang
Retspraksis og forordningens fortolkning vil ændre sig i de kommende år, og det er derfor vigtigt, at jurister til stadighed følger med og vejleder organisationen, når det sker. - Databeskyttelse gennem design
Dette dækker både over klassisk it-sikkerhed og helt nye områder som f.eks. it-understøttelse af dataklassifikation, dataportabilitet og oplysningspligt. Det skal tænkes ind i it-arkitekturen. - Adgangsstyring
En gammelkendt disciplin som stadig udfordrer rigtig mange virksomheder. Ofte er adgangsstyring et område, der ”sander til” eller har ”sorte huller”. Derfor skal det genbesøges. - Informationers livscyklus
Et nyt paradigme i vores behandling af informationer er, at vi skal kunne håndhæve sletteregler i praksis. Det er en disciplin, der skal it-understøttes for at kunne fungere i praksis. - Forretningsgange
Man opnår næppe efterlevelse uden en justering af forretningsgange og praksis for behandling af persondata.
Vi byder den nye forordning velkommen og vil opfordre alle til at forsøge at forstå og følge de syv grundlæggende principper, fremfor at dække sig ind under politikker og aftaler uden reelt at ændre adfærd. Det er vi alle bedst tjent med som borgere.
Vil du vide mere?
Så er du velkommen til at kontakte Frederik og Jørgen.
Du kan desuden læse endnu en artikel om emnet her.
Vi stiller gerne op til faglige indlæg og individuelle møder om emnet.