Whitepaper • oktober 2016
Nye skrappe persondata-regler – her er alt , du skal vide Klar til at overholde persondataforordningen? EU’s persondataforordning får konsekvenser for alle it-afdelinger i Danmark. Her får du overblikket over, hvordan du skal forholde dig, hvor den vil ramme, og hvad du skal gøre.
Indhold
Det betyder den nye forordning for din virksomhed side 3 Store udfordringer for it-afdelingen side 4 Hvad betyder ’Privacy by Design’ og ’Privacy by Default’? side 5 Reglerne om samtykke og cookies bliver mere indviklede side 6 Ingen vej uden om retten til at blive glemt side 7 Nystartet tech-firma? Dette skal du vide om forordningen side 8 Ro på: Måske kan du slippe for at hyre en ’data protection officer’ side 9 Danske firmaer er især bekymrede over tre persondata-elementer side 10 Nye EU-regler rammer hårdt: Hver dag vil 10 firmaer skulle erkende hacker-angreb side 11
whitepaper • oktober 2016
Nye skrappe regler om persondata - her er de gode råd
Side 3
Det betyder den nye forordning for din virksomhed Klumme: Den nye persondataforordning fra EU får stor betydning for mange virksomheder. Her er et overblik over de væsentligste punkter. AF MARTIN VON HALLER GRØNBÆK It-advokat, partner Bird & Bird
E
fter lang tids forhandlinger i den såkaldte trilog blev EUs lovgivende institutioner den 15. december 2015 endeligt enige om udformningen af persondataforordningen. Den forventes formelt at træde ikraft i første kvartal af 2018. De mest overordnede konsekvenser af persondataforordningen er, at de, der behandler persondata, vil få et større ansvar, at individer vil få udvidede rettigheder og at de nationale datatilsyn vil få bedre og skærpede håndhævelsesmuligheder. De mere specifikke tiltag gennemgås overordnet nedenfor. De specifikke tiltag Fremover vil persondataforordningen gælde for alle, der behandler persondata. Også virksomheder uden for EU blive omfattet, hvis de tilbyder varer eller tjenester til EU-borgere. Dette er en vigtig nyskabelse i forhold til forordningens rækkevidde. Persondataforordningen vil omfatte de samme typer af persondata som under den tidligere persondatalov, dog med tilføjelse af genetiske data (for eksempel DNA) og biometriske data (for eksempel fingeraftryk). Derudover introduceres konceptet ”pseudonyme data”, som er en måde at håndtere persondata, hvor dataene og de tilknyttede informationer, der er med til at identificere personerne bag dataene, holdes adskilt. Børn under 13 år Samtykke fra børn vil under persondataforordningen blive reguleret særskilt fra voksne. Herefter kan børn under 13 år ikke give sam-
tykke til behandling af persondata i forbindelse med online-serviceydelser. Dette er meget vigtigt at holde sig for øje for virksomheder, hvis produkter er målrettet børn. Underretningspligt inden for 72 timer Fremover vil der indføres en underretningspligt, hvorefter underretning om alvorlige brud på datasikkerheden skal ske inden for 72 timer til de nationale datatilsyn. Virksomheder og myndigheder skal fremover sikre, både at persondatabeskyttelsesreglerne overholdes samt dokumentere, at dette sker ved hjælp af interne procedurer og privatlivspolitikker - dette kaldes Privacy By Design og Privacy by Default. Derudover indføres der krav om, at der foretages såkaldte ”Privacy Impact Assessments” i en række situationer, hvor behandlingen af persondata kan medføre særlige risici for den enkelte. Udpeg en DPO Der vil som noget helt nyt blive indført et krav om tilknytning af en såkaldt DPO (Data Protection Officer) både i den offentlige sektor og for virksomheder, hvis deres hovedaktivitet er behandling af persondata, eller hvor der behandles mange følsomme oplysninger. Dette er altså ikke som et generelt krav, men det er vigtigt at undersøge, om det vil være nødvendigt for din organisation. Virksomheder og myndigheder har tidligere været underlagt en oplysningspligt overfor den registrerede, og fremover vil denne blive mere vidtgående og vil skulle give dybdegående information til enkeltpersoner vedrørende hånd-
teringen af dennes persondata og rettigheder i henhold til forordningen. Retten til at blive glemt Retten til at blive glemt, eller ”the right to be forgotten” som det er bedre kendt under, vil blive cementeret i persondataforordningen. Dog må dataansvarlige stadig behandle persondata, selvom enkeltpersoner kræver dataene ”glemt”, såfremt den dataansvarlige har en legitim grund til at fortsætte. Der indføres en ny ret til dataportabilitet. Herefter vil enkeltpersoner, der har afgivet persondata til en dataansvarlig, kunne kræve sådanne persondata udleveret i et standardformat eller overført til en anden dataansvarlig, såfremt dette rent teknisk er muligt. Persondataforordningen vil indføre en såkaldt one-stop-shop mekanisme, hvorefter virksomheder alene skulle have kontakt med én enkelt tilsynsmyndighed, som udgangspunkt. For at opfylde dette, skal tilsynsmyndighederne inden for EU samarbejde i væsentlig højere grad, end det er tilfældet i dag, ligesom der skal ske harmonisering af de afgørelser og retningslinjer, som myndighederne udstikker. Kæmpemæssige bøder Som nævnt ovenfor vil håndhævelsen af reglerne blive skærpet. Dette vil blandt andet ske ved, at bødeniveauet ændres markant. Modsat de tidligere minimale bøder, der blev udstedt under persondataloven, vil der fremover kunne udstedes bøder på op til EUR 20.000.000 eller fire procent af den globale årlige koncernomsætning, afhængigt af hvad der er højest. Det er for den interesserede vigtigt at notere sig, at persondataforordningen ikke adresserer den nylige afgørelse vedrørende Safe Harborordningens ugyldighed, som i stedet håndteres adskilt fra forordningen. n (Tak til mine Bird & Bird-kollegaer, advokatfuldmægtig Amalie Langebæk og advokatfuldmægtig Kamilla Pierdola Mondrup, for hjælp med indlægget.)
whitepaper • oktober 2016
Nye skrappe regler om persondata - her er de gode råd
Side 4
Store udfordringer for it-afdelingen Udover meldepligt og risikoen for store bødekrav indeholder EU’s kommende persondataforordning mange udfordringer for borgere og virksomheder. AF MADS ELKÆR m.elkaer@cw.dk
D
jævlen ligger som bekendt oftest gemt i detaljen, og det gælder såmænd også i EU’s kommende persondatalovgivnin-
gen. Meldepligten til alle berørte personer inden for 72 timer ved tab af persondata og bøder på op mod fire procent af virksomhedens omsætning har løbet med alle overskrifterne. Men der er mange andre ting i forordningen, som du bør finde luppen frem for at nærstudere. ”Generelt bliver borgernes datarettigheder meget mere klare end tidligere, og hvis virksomhedernes håndtering af persondata ikke lever op til loven, så vanker der store bøder,” siger it-advokat Martin von Haller Grønbæk. Han har udpeget fire hovedområder: 1) Udpegning af en data protection officer, 2) samtykke-delen, 3) dataportabilitet og 4) right to be forgotten, som er meget mere end blot at blive fjernet fra Googles søgeindeks. Udpeg data protection officer Martin von Haller Grønbæk fremhæver først og fremmest EU-kravet om, at datatunge virksomheder er forpligtede til at udpege en data protection officer. Han understreger dog, at alle virksomheder ikke nødvendigvis behøver at hyre en data protection officer, da nuværende medarbejdere også kan varetage funktionen. ”En virksomhed, hvis hovedaktivitet består af databehandling, kan også hive advokater, revisorer og andre eksterne personer ind som data protection officer. Så længe dette ikke resulterer i nogen former for interessekonflikter, er alt, som det skal være,” siger han. Han forudsiger, at der med tvangsindførelsen
af denne rolle også kan opstå cloud-tjenester, der udbyder denne specifikke service til at være den øverste dataansvarlige person i en virksomhed. Samtykkekrav Samtykke-kravet tvinger virksomhederne til at indhente samtykke fra borgere og forbrugere, hvis virksomhederne ønsker at indsamle og benytte data om deres brugere og kunder. Med den kommende EU-persondataforordning går man samtidig fra et passivt samtykke- til aktivt samtykkekrav. Det betyder altså, at er hr og fru EU kan se frem til at blive spurgt en hel del mere om tilladelse til brug af deres data, end vi kender det i dag. ”I den logik skal man jo klikke ja til cookies, før man overhovedet kan komme ind på en hjemmeside. Så hvis du synes, at cookielovgivningen er helt håbløs i dag, så bliver det endnu mere håbløst fremover,” siger Martin von Haller Grønbæk. ”Alle normale mennesker er jo fuldstændig ligeglade med alle de samtykker, og vi ville jo få mange flere indlagte sindssyge, hvis vi alle reelt skulle læse alle samtykkeerklæringerne igennem. Ingen læser dem jo, og dette her kan godt gå hen og blive et mønstereksempel på gode intentioner, der ender som et monster.” Martin von Haller Grønbæk peger også på, at samtykkekravet kan få stor betydning for app-udviklere. Det skyldes, at mange app-opdateringer ændrer i app’ens databrug, hvilket har betydning for brugervilkårene, som så igen kræver et samtykke for smartphone-brugere i EU. ”Når ingen læser disse samtykkekrav og bare klikker ja, så kan man jo spørge sig selv, om samtykket har en reel betydning, eller om det bare er
et bureaukratisk flueben EU sætter ud for ’samtykke’,” siger it-advokaten. Kan du bare flytte data rundt? Et tredje nedslagspunkt i den kommende EUpersondataforordning er afsnittet om dataportabilitet, som på papiret skal gøre det nemmere for borgerne at flytte deres data rundt. Dette punkt har Martin von Haller Grønbæk mange roser til overs for. ”Det kunne jo være rigtig godt, hvis man eksempelvis kan flytte alle sine data på eksempelvis LinkedIN til Facebook, men det vil jeg nu gerne se ske i praksis, før jeg tror på det,” lyder hans vurdering af dataportabiliteten. Som verden er i dag, er det ikke altid lige nemt at flytte sine data fra en sky til en anden, hvilket EU ellers lægger op til i sin fremtidige forordning. ”På et filosofisk plan mener jeg, at det ville være bedre, hvis data er frit til rådighed, og man så opstiller regler for, hvordan man eksempelvis undgår diskriminationer mellem mand og kvinde,” vurderer Martin von Haller Grønbæk. Han peger på, at virksomhederne med kravet om dataportabilitet skal gøre klar til en ny virkelighed, hvor det er noget nemmere at brække data op fra databaserne, så kunderne kan flytte rundt, som det passer dem. Du forsvinder jo ikke alligevel Det leder frem til det fjerde punkt, som Martin von Haller Grønbæk her udpeger som nogle af de største områder i EU-persondataforordningen, nemlig retten til at blive glemt (right to be forgotten). Dette punkt omhandler meget, meget mere end blot bede Google om at blive fjernet fra søgemaskinens indeks. ”Det er jo simpelt at slette tekster og billeder, men hvad med mine meta-data? Dem siger EU ikke så meget om,” forklarer Martin von Haller Grønbæk. Metadata kunne i denne sammenhæng være transaktioner i en bank, likes på Facebook og indkøb i et supermarked, hvor man som forbruger har tilknyttet et rabatkort. ”Helt konkret ligger der rigtig mange udfordringer i at blive glemt, fordi metadata næppe bliver slettet sammen med en brugerprofil. Og stykker man nok af disse metadata sammen, så kan de jo bruges til at genetablere den person, der stod bag transaktionerne,” forklarer han. n
whitepaper • oktober 2016
Nye skrappe regler om persondata - her er de gode råd
Side 5
Hvad betyder ’Privacy by Design’ og ’Privacy by Default’? Klumme: Alle virksomheder skal bruge principperne om Privacy by Design og Privacy by Default. Det bliver dyrt. Men måske er det også en ny forretningsmulighed. AF MARTIN VON HALLER GRØNBÆK It-advokat, partner Bird & Bird
D
en nye persondataforordning, som har til hensigt at give EU-borgere bedre kontrol med personlige data, indfører principperne om Privacy by Design and Privacy by Default for at følge med den teknologiske udvikling. Privacy by Design indebærer, at virksomheder skal beskytte personlige oplysninger ved at indarbejde forretningsprocedurer og infrastrukturer i teknologiens designspecifikationer. Det betyder, at persondatabeskyttelse skal bygges ind i nye systemers og processers arkitektur. Privacy by Default betyder, at virksomheder skal indføre procedurer, der som standard sikrer, at der kun behandles persondata, som er nødvendig for hvert enkelt formål med behandlingen, og især at data ikke indsamles og opbevares ud over det nødvenlige tidsrum til de specifikke formål, og at de kun opbevares i det tidsrum, der er nødvendigt for at levere produktet eller servicen. Privacy by Design og Privacy by Default er gældende på alle niveauer, herunder for producenterne af enheder, programudviklere og sociale platforme. Persondatabeskyttelse og sikkerhed skal være indarbejdet som standard og i udformningen af et program helt fra starten. Typisk eksempel på overtrædelse Eksempelvis vil du som en kommende bruger af en ny tjeneste – for eksempel et socialt medie – ved oprettelse af en profil skulle udlevere navn og e-mailadresse til udbyderen. Men tjenesten behandler måske uden tilstrækkelig samtykke også andre personlige data, som for eksempel din lokation og dit køn, ligesom tjenesten gør dataene offentlig tilgængelige
– og ikke kun for dine kontakter. Dette vil nok være en type eksempel på overtrædelse af persondata-beskyttelsesprincipperne og derved af Privacy by Default-princippet, da der behandles flere informationer, end servicen kræver. Denne situation kunne have været undgået ved at bruge Privacy by Design-konceptet, hvor producenten ville have indarbejdet tekniske og organisatoriske forholdsregler til at forudse og undgå denne overtrædelse, allerede før det sociale medie blev lanceret. Hvorledes forpligtelsen mere praksis vil blive håndhævet, er ikke helt klart. Klart ligger det dog, at de lokale datatilsyn vil kunne bede virksomhederne om at dokumentere, at deres løsninger overholder kravene om Privacy by Design og Privacy by Default. Og der er strenge straffe til virksomheder, som overtræder reglerne; virksomheder kan idømmes bøder på helt op til fire procent af den årlige omsætning for grove overtrædelser.
de høje implementeringsomkostninger. Nogle virksomheder vil skulle foretage betydelige investeringer for at sikre, at de overholder forordningen både indenfor og udenfor Europa. Der har været meget fokus på store webbaserede virksomheder som Google, Facebook og Microsoft på grund af det store antal af tredjeparter, der benyttes i forbindelse med databehandlingen, og hvor der – for at implementere reglerne – kræves et højt niveau af samarbejde på et administrativt plan, og store omkostninger til drift og overvågning. Dog er byrderne specielt tunge for små og mellemstore virksomheder. Når der for eksempel skal udvikles et nyt produkt, skal hele udviklingsprocessen overholde forordningen, ligesom den løbende overvågning kan skrue omkostningerne til et nyt produkt kraftigt i vejret. Dette kan blive en stor økonomisk belastning for virksomheder med små budgetter, for eksempel startups.
Fordelene Nogle kunder er meget betænkelige ved, hvad der sker med de informationer, som de afgiver til virksomheder - især online. Kravet om Privacy by Design and Default har til hensigt at give kunder - altså de registrerede - større kontrol med deres persondata og skal medvirke til at opbygge tillid til virksomheder, herunder online-tjenester.
Er det kun dårligt for forretningen? Det kunne måske være nyttigt for virksomheder at se på kravene om Privacy by Design fra en anden synsvinkel. Kundernes voksende betænkeligheder ved at afgive personlige oplysninger kunne ses som en ny forretningsmulighed. Det er vigtigt, at kunder føler sig trygge og har tillid til servicen eller produktet, så ved at overholde den nye forordning kan en virksomhed måske skabe et produkt eller en service, som kunderne vil være trygge ved at anvende og derved gøre produktet eller servicen mere attraktiv. I henhold til den nye Persondataforordning kan virksomheder endda få en certificering fra EU’s tilsynsmyndighed, hvorefter virksomheden kan oplyse kunderne om, at de overholder forordningen og derfor kan betros personlige oplysninger og opnå en konkurrencemæssig fordel. n
Ulemperne Modsat har nogle virksomheder kritiseret Privacy by Design og Default-koncepterne - ikke for den øgede kontrol, deres kunder vil få, men for
(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)
whitepaper • oktober 2016
Nye skrappe regler om persondata - her er de gode råd
Side 6
Reglerne om samtykke og cookies bliver mere indviklede Klumme: Den nye persondataforordning ændrer reglerne for cookies og samtykke, og det får betydning for både rigtig mange ejere af websites og for app- og webudviklere. Her er detaljerne. AF MARTIN VON HALLER GRØNBÆK It-advokat, partner Bird & Bird
D
e nuværende regler om cookies, som blev indført i 2011, er dels blevet kritiseret meget, dels er de dårligt implementeret, og oven i købet er de er kun blevet håndhævet meget lidt. Mange er enige om, at de kun har været til minimal gavn for forbrugerne med hensyn til deres formål – at forbedre online-datasikkerhed. I stedet har de blot har øget omkostningerne for websider og ejere af apps. I henhold til de nuværende regler skal en webside informere brugerne om, at der bliver brugt cookies, første gang de placeres hos en bruger, give brugeren en forklaring på, hvorfor de er der, og bede om brugernes samtykke til at lagre cookierne. Reglerne om cookies er derfor afhængig af definitionen på ’samtykke’. Definitionen på samtykke I den nye persondataforordning er definitionen på ’samtykke’ ændret i forhold til tidligere. I henhold til den nye definition er utvetydigt samtykke normen, hvorefter samtykke skal være afgivet frit, specifikt og informeret, og det skal være i form af en bekræftende handling – for eksempel at afkrydse et felt eller klikke på et link. I henhold til de nuværende regler kan et stiltiende samtykke være gyldigt, hvis brugerne fuldt ud forstår, at deres handling vil betyde, at cookies placeres. Men da det utvetydige samtykke bliver normen, skal det stiltiende samtykke – eller opt-out muligheden, som i dag er implementeret – rettes
Der er ingen tvivl om, at valget af det utvetydige samtykke i den nye forordning vil betyde øgede omkostninger for ejere af websider og for app- og softwareudviklere.
til for at opfylde kravene i forordningen. Der er også den yderligere komplikation, at en enhed ofte benyttes af flere brugere. I dag er det kun den person, der først accepterer brugen af cookies, som har givet utvetydigt samtykke, mens efterfølgende brugere kan have andre præferencer, som der ikke tages højde for. Konsekvenser af ændringerne Der er ingen tvivl om, at valget af det utvetydige samtykke i den nye forordning vil betyde øgede omkostninger for ejere af websider og for appog softwareudviklere. For eksempel skal mange app-udviklere ændre deres fremgangsmåde, når en app, der er downloaded på smartphones eller tablets, herefter får adgang til brugernes informationer (for
eksempel kontakter eller fotos) på enheden. App-udviklere skal dels give brugerne klar information om, hvad app’en gør, dels om hvordan den nøjagtigt anvender brugerens oplysninger, før brugeren klikker på ’installér app’. Kan de nye krav til cookies være positive for forretningen? Cookies hjælper websider med at huske de indstillinger, som en bruger valgte ved et tidligere besøg, herunder temaer, sprog, login-navn og password for at give lettere adgang ved fremtidige besøg og så videre. Nogle mener, at det nye konstante bombardement med anmodninger om at acceptere cookies vil være ineffektivt og genere brugerne. På den anden side kan cookies også indsamle demografiske oplysninger om, hvem brugerne er, hvor ofte de besøger websiden, hvor længe de bliver på siden og brugernes surfing-vaner ved at anvende de personlige informationer. De ’big data’, som cookierne indsamler, er informationer af stor værdi for websiden/appejerne, som gør det muligt for udviklerne at tilpasse websiden til brugerens interesser og adfærd og således tilpasse websiden eller app’en, så den er mest effektiv og nyttig. Den nødvendige balance Cookie-reglerne og kravet om samtykke i den nye forordning skal finde balancen mellem på den ene side brugervenlighed på websider og i apps og på den anden side værne om retten til online-privatliv. Samtidig skal der fortsat kunne skabes og udvikles ny teknologi. Det bliver interessant at følge, om den nye definition på samtykke vil hjælpe med den nødvenlige balance, eller om den vil gøre det hele mere besværligt og bekosteligt at bruge internettet. Jeg er ikke optimist. n (Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)
whitepaper • oktober 2016
Nye skrappe regler om persondata - her er de gode råd
Side 7
Ingen vej uden om retten til at blive glemt Klumme: Retten til at blive glemt, så alle i højere grad kan kontrollere sine personlige oplysninger, kommer til at koste for virksomhederne. AF MARTIN VON HALLER GRØNBÆK It-advokat, partner Bird & Bird
D
en nye persondataforordning indfører en ny rettighed, som har skabt en del røre, nemlig ”Retten til at blive glemt”. Hvad består rettigheden faktisk af? Hvad får de omfattede personer ret til? Reglen, som er anført i paragraf 7 i den nye Persondataforordning, uddyber og præciserer retten til sletning, berigtigelse eller blokering, som fandtes i det gamle persondatadirektiv. I bund og grund betyder det, at en person kan kræve, at en virksomhed fjerner, retter eller blokerer personoplysninger vedrørende personen, som denne ikke længere ønsker offentliggjort, opbevaret eller behandlet. Rettigheden er derved bestemt et nyttigt værktøj til at få personer til at føle, at de har bedre kontrol over deres personlige oplysninger. Ikke en ny rettighed Rettigheden er dog ikke noget helt nyt. For det første fandtes en enklere men lignende regel i det gamle persondatadirektiv. For det andet er reglen for nylig blevet anvendt i en EU-dom vedrørende Google, hvor det blev vurderet, at Google skulle tage sig af forespørgsler fra enkeltpersoner om at fjerne links til frit tilgængelige websider, som kom frem, når de søgte på deres navne. Google-dommen omtaler ”Retten til at blive glemt”-reglen i den nye persondataforordning. Men da persondataforordning jo ikke var trådt i kraft endnu, henviste EU-domstolen ikke udtrykkeligt denne rettighed. I stedet henviste retten til privatlivets fred og retten til beskyttelse af persondata i EU’s charter om grundlæggende rettigheder.
Omkostningsfuld rettighed Den nye rettighed vil helt sikkert skabe mere administrativt arbejde for virksomheder og være en byrde både økonomisk og tidsmæssigt. Dette er allerede situationen nu for Google, som har måttet ansætte en hel medarbejderstab kun til at tage sig af forespørgsler i forbindelse med ”Retten til at blive glemt”. For at håndtere ”Retten til at blive glemt” skal man som virksomhed sikre sig, at man har implementeret både software til at slette data, værktøjer til at fjerne krypteringsnøgler og værktøjer til at fjerne malware samt sikre sig, at man har nok personale til at tage sig af forespørgslerne fra personer der ønsker at blive ”glemt”. Hvem er forpligtet i forhold til ”Retten til at blive glemt”? I den ovennævnte Google-dom, blev Google - til Googles egen overraskelse - vurderet til at være dataansvarlig og derfor forpligtet til at imødekomme anmodningerne om ”Retten til at blive glemt”. Men den nye persondataforordning fortæller os ikke, hvem der ellers vil være dataansvarlig med pligt til at efterleve ”Retten til at blive glemt”. Det er for eksempel uklart, om Facebook, LinkedIn, Twitter eller andre service-udbydere på internettet er dataansvarlige med pligt til at efterleve ”Retten til at blive glemt”. På mange måder vil det være mærkeligt, hvis Google skal følge reglerne, mens Twitter ikke skal. I givet fald skulle Google fjerne søgeresultater, der viser informationer om en person på Twitter, mens Twitter ikke skulle fjerne opslaget fra virksomhedens egen platform. Men som nævnt er situationen uafklaret. Det er dog sikkert, at virksomheder, der ikke følger ”Retten til at blive glemt”, kan blive idømt store bøder - også selv om om fortolkningen af reglerne er uklar. Hvad med tredjeparter, der bruger de personlige oplysninger? Ifølge den nye persondataforordning er det også
et krav, at virksomheder, som offentliggør personoplysninger, tager alle rimelige foranstaltninger – herunder tekniske – for at sikre, at tredjeparter, som behandler oplysningerne, bliver informeret om en persons forespørgsel om at få hans eller hendes oplysninger slettet. Dette betyder for eksempel, at Google skal gøre alle rimelige foranstaltninger for at sikre, at alle, der har haft adgang til oplysningerne fra Google-servicen, og som nu behandler dem, bliver informeret om kravet om at slette disse. Dette er en kæmpestor tidskrævende forpligtelse, som vil være en byrde for mange virksomheder. Er der en udvej? Der er også en undtagelse til ”Retten til at blive glemt” i den nye persondataforordning. Ifølge denne undtagelse kan behandlingen af personoplysninger med det formål at udøve retten til ytrings- og informationsfrihed ikke blive begrænset af ”Retten til at blive glemt”. Dette betyder, at forespørgsler om ”Retten til at blive glemt” kan afvises med begrundelse i ytrings- og informationsfriheden.Det er dog en lidt problematisk udvej, da den nye persondataforordning ikke giver nogen retningslinjer for, hvordan ytrings- og informationsfrihed skal fortolkes. Da erfaringen fortæller os, at medlemslandende har temmelig forskellige fortolkninger af, hvordan ytrings- og informationsfrihed skal balanceres i forhold til retten til privatlivets fred, er det meget sandsynligt, at den nye persondataforordning ikke vil give en harmoniseret tilgang til ”Retten til at blive glemt” og ytringsfrihedsundtagelsen. Fremtidsudsigterne Kort fortalt giver ”Retten til at blive glemt” personer nogle brugbare værktøjer til at føle, at det er mere sikkert at dele personlige oplysninger. Set fra virksomhedernes synspunkt vil rettigheden betyde mange administrative omkostninger og et meget usikkert grundlag for, hvordan reglen skal overholdes og fortolkes korrekt. Det bliver interessant at se, hvor mange gange reglen skal fortolkes af EU-domstolen, før virksomhederne får en klar forestilling om, hvad deres forpligtelser er i forbindelse med reglen. n (Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)
whitepaper • oktober 2016
Nye skrappe regler om persondata - her er de gode råd
Side 8
Nystartet tech-firma? Dette skal du vide om forordningen Klumme: Skal et nystartet it-firma også have en data protection officer? Og hvad med kundernes ”ret til at blive glemt”? AF MARTIN VON HALLER GRØNBÆK It-advokat, partner Bird & Bird
T
ech-startups særlige karakter medfører, at visse dele af forordningen bliver henholdsvis mere eller mindre relevante. Tech-startups har, grundet de seneste ændringer i forordningen, som udgangspunkt ingen grund til at skynde sig ud og finde en Data Protection Officer. Som jeg også i et tidligere indlæg har nævnt, er DPO’er kun et krav, såfremt virksomheden behandler data, som efter deres karakter, anvendelsesområde eller formål kræver regelmæssig og systematisk overvågning af personer på en stor skala, eller hvis virksomhedens kerneaktivitet består af behandling af følsomme oplysninger i stor skala eller oplysninger om kriminelle forhold. Det bliver med andre ord først relevant, når databehandlingen har en ganske betydelig størrelse. Få styr på procedurerne Ja, sjældent har en overskrift lydt så kedelig. Det er imidlertid meget vigtigt. Særligt to interne procedurer bør være på plads før forordningens endelige ikrafttræden: 1. Procedure for håndtering af ”retten til at blive glemt” Eftersom tech-startups ofte benytter tredjeparter til databehandling, for eksempel via cloud ser-vices, er det meget vigtigt, at virksomheden har et komplet overblik over disse tredjeparter og en klar procedure for, hvordan henvendelser fra kunder om ”retten til at blive glemt” skal håndteres. Hvis en kunde gør brug af sin ”ret til at blive glemt” overfor virksomheden, er virksomheden nemlig forpligtet til at slette egne oplysninger
Indberetningsfristen til Datatilsynet er ifølge forordningen 72 timer, så der er altså ikke meget tid at gøre med.
(medmindre behandling af oplysningerne er nødvendige for for eksempel udøvelse af retten til frihed, ytrings- og informationsfriheden) og informere alle tredjeparter, der behandler oplysningerne (forudsat at virksomheden har offentliggjort oplysningerne). Lav derfor en liste med alle tredjeparter, der videregives oplysninger til, og en procedure for, hvordan kontakten med såvel kunden og tredjeparter skal håndteres. 2. Underretningsprocedure ved datasikkerhedsbrud Når der alene i Danmark sker adskillige tusinde hackerforsøg om dagen, er det naivt for en virksomhed - især en tech-startup - at tro, at der ikke vil ske et datasikkerhedsbrud før eller siden. Indberetningsfristen til Datatilsynet er ifølge forordningen 72 timer, så der er altså ikke meget tid at gøre med. Det er derfor vigtigt, at der ligger en procedure klar (som de ansatte er bekendt med), hvis uheldet er ude. Man skal desuden have for øje, at også datasubjektet i visse tilfælde skal orienteres om da-
tasikkerhedsbruddet. Tænk i ”privacy by design” og ”privacy by default” Disse to principper er helt centrale. Helt overordnet handler det om, at virksomheden altid skal tænke databeskyttelse ind i ligningen - både ved udvikling af nye produkter, drift af virksomheden og indsamling af personlige oplysninger fra kunder, ansatte, samarbejdspartnere med videre. Tech-startups kan her have en vis fordel, idet de ofte er meget omstillingsparate og typisk ikke kræver et større antal ressourcer for at tilpasse sig. It-sikkerhed For mange tech-startups er it-sikkerhed noget, der kommer ”efterhånden”. Sikkerheden bliver ofte skubbet i baggrunden til fordel for udviklingsprocessen, og det vil forordningen lave om på blandt andet gennem princippet om privacy by design. Det handler om at indarbejde datasikkerhed i mentaliteten hos tech-startups, så det pr. automatik ligger i toppen af prioriteringslisten. Allerede i de indledende faser kan det nemlig blive nødvendigt for virksomheden at dokumentere, at den har implementeret ”passende tekniske og organisatoriske sikkerhedsforanstaltninger”. Hvad der nærmere ligger i ”passende” afhænger af resultatet af virksomhedens risikovurdering af den konkrete behandling af data. Som tech-startup er det derfor vigtigt at tænke it-sikkerhed ind allerede i opstartsfasen, herunder vurdere mængden og karakteren af de oplysninger, som skal behandles og herefter implementere og dokumentere sikkerhedsforanstaltninger i tråd hermed. n (Tak til mine Bird & Bird kollegaer, studentermedhjælper Mathias Bartholdy, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget)
whitepaper • oktober 2016
Nye skrappe regler om persondata - her er de gode råd
Side 9
Ro på: Måske kan du slippe for at hyre en ’data protection officer’ Klumme: Der er masser af tilbud om lange og dyre uddannelser af data protection officers, men i virkeligheden er det reelle behov meget lille for danske virksomheder. AF MARTIN VON HALLER GRØNBÆK It-advokat, partner Bird & Bird
M
ange virksomheder er i dag overbeviste om, at man under den nye persondataforordning vil blive underlagt et krav om at ansætte en data protection officer (DPO), og at denne ansættelse vil kræve lange og dyre uddannelsesforløb for den enkelte virksomhed. Dette vil i mange tilfælde ikke være tilfældet. Der er god grund til, at virksomhederne nøje overvejer, hvorvidt DPO-ansættelsen vil være nødvendig. Det er der primært to årsager til: 1. Er det en kerneaktivitet? Den nyeste udgave af forordningen har betydeligt indskrænket de tilfælde, hvor en virksomhed er forpligtet til at udpege en DPO. Det er nu kun et krav til offentlige myndigheder (med undtagelse af domstole) og virksomheder, hvis kerneaktivitet består i en kvantitativ og kvalitativ omfattende databehandling. Som det ser ud nu, skal private virksomheder altså først og fremmest overveje, om deres da-
Man kan derfor med rette sætte spørgsmålstegn ved, hvor mange DPO’er der egentlig er brug for i Danmark.
tabehandling falder inden for begrebet ”kerneaktivitet”. Hvis dette ikke er tilfældet, kan man slå alle tanker om krav om ansættelse og uddannelse af en DPO ud af hovedet. 2. Man kan dele en DPO Forordningen åbner udtrykkeligt mulighed for, at flere virksomheder eller offentlige myndigheder benytter samme DPO. Det er derfor ikke svært at forestille sig, at en lille række DPO’er kommer til at stå for langt størstedelen af DPO-tilsynet i Danmark.
Omkostningerne til ansættelse og uddannelse af en enkelt DPO pr. virksomhed vil derfor ofte ikke være nødvendige. Man kan derfor med rette sætte spørgsmålstegn ved, hvor mange DPO’er der egentlig er brug for i Danmark. Alligevel udbydes et støt stigende antal DPO-uddannelser med henblik på at uddanne kommende DPO’er eller at forberede virksomheder på bedst muligt at håndtere den nye funktion i praksis. Ud fra et fremtidigt perspektiv kan det måske være en god idé at have en pæn stab af uddannede DPO’er, men som det ser ud nu, er behovet dog relativt begrænset. Det skal dog nævnes, at uddannelserne stadig kan være en god mulighed for virksomheder, som ønsker uddybende viden om forordningen, og som herigennem vil opnå værktøjer til at håndtere forordningens andre krav. n (Tak til mine Bird & Bird kollegaer, studentermedhjælper Mathias Bartholdy og advokat Kamilla Pierdola Mondrup for hjælp med indlægget)
whitepaper • oktober 2016
Nye skrappe regler om persondata - her er de gode råd
Side 10
Danske firmaer er især bekymrede over tre persondata-elementer Tre hovedspørgsmål går ofte igen, når danske virksomheder skal tale med advokater om den kommende persondataforordning fra EU. AF MADS ELKÆR m.elkaer@cw.dk
P
ersondata er hot i det danske erhvervsliv. Især beskyttelse af persondata er blevet en varm kartoffel ude i virksomhederne, efter EU i starten af året præsenterede sin person-dataforordning, der bliver implementeret direkte i EU-landenes lovgivning - og altså også i Danmark. Bestyrelsesmedlem i Danske IT-Advokater, Tue Goldschmieding, som også er partner i advokatfirmaet Gorrissen Federspiel fortæller til Computerworld, at der i de senere år har været en støt stigende tendens interesse for persondata ude blandt de danske selskaber. ”Interessen er i det seneste år til halvandet steget markant i forbindelse med den kommende EU-forordning”, fortæller Tue Goldschmieding og fortsætter: ”Den store opgave for virksomhederne ligger i at gøre kravene operationelle, så de kan styres i praksis.” Tre faste pinde på dagsordenen Blandt de faste indslag i virksomhedernes møder med juristerne ligger spørgsmålet om bødestørrelsen på op mod fire procent af en virksomheds årlige, globale omsætning helt i top. ”Ledelsen er nysgerrige omkring, hvordan eventuelle bøder kan ramme dem. Det er helt naturligt,” forklarer Tue Goldschmieding. Også spørgsmålet om, hvordan virksomhederne skal håndtere deres risikovurderinger, bliver ofte vendt på møderne mellem de juridiske rådgivere og virksomhederne. For myndighederne har mulighed for at foretage inspektioner, hvor risikovurderingen skal fremvises på forlangende. ”Hvis der er risiko for, at en virksomhed bliver kompromitteret, skal den kunne opstille en
På overfladen er det et forståeligt krav, men i praksis skal virksomheden allerede være klar med deres eksterne kommunikationsstrategi, inden uheldet er ude. For du kan ikke lægge din kommunikationsplan ordentligt inden for de 72 timer. TUE GOLDSCHMIEDING Bestyrelsesmedlem i Danske IT-Advokater,
handlingsplan for, hvordan den vil håndtere sine processer og sikre data,” lyder det fra Tue Goldschmieding. ”Risikovurderingen skal jo i praksis forankres i hele organisationen, hvor det eksempelvis er it-afdelingen, som står for risikovurderingen, hvis virksomheden gerne vil have en eller flere
applikationer kørende i en cloud-tjeneste,” fortsætter han. Et tredje område fra EU’s persondataforordning, som Tue Goldschmieding også tit rådgiver om, er kravet om at informere myndigheder og berørte parter inden for 72 timer, hvis virksomhedens persondata er blevet kompromitterede. ”På overfladen er det et forståeligt krav, men i praksis skal virksomheden allerede være klar med deres eksterne kommunikationsstrategi, inden uheldet er ude. For du kan ikke lægge din kommunikationsplan ordentligt inden for de 72 timer,” vurderer Tue Goldschmieding. Persondata er en god forretning Udover advokatkontorerne er det typisk revisorer og it-sikkerhedsselskaber, som danske virksomheder vender sig imod for at få rådgivning i, hvordan de kan implementere EU’s persondataforordning i praksis. ”Endnu er det for tidligt at sige noget om, hvad persondataforordningen betyder i kroner og øre. De fleste advokatkontorer er dog for længst gået i gang med at produktudvikle i form af kurser og projekter i opbygning af compliance-projekter,” siger Tue Goldschmieding. Han fortæller, at for advokaternes vedkommende har det kraftigt øgede fokus på persondata i de senere år betyder, at alle de store advokatkontorer har hyret flere folk med special inden for netop persondata-håndtering. Denne tendens går igen ude i virksomhederne. ”Jo tættere vi kommer på implementeringen i 2018, des mere vil it-sikkerhedseksperterne få en væsentlig rolle, da det jo er dem, der skal rådgive i den praktisk installation af firewalls,” runder Tue Goldschmieding af. n
whitepaper • oktober 2016
Nye skrappe regler om persondata - her er de gode råd
Side 11
Nye EU-regler rammer hårdt: Hver dag vil 10 firmaer skulle erkende hacker-angreb EU’s kommende regelsæt for persondata vil få seriøse konsekvenser for dansk erhvervsliv. Dansk sikkerhedsdirektør vurderer, at omkring 10 danske firmaer dagligt vil skulle fortælle om persondata-tab. AF MADS ELKÆR m.elkaer@cw.dk
F
ra tabu til erkendelse. Og formentlig også en kraftig forbedring af it-sikkerheden Sådan vil kulturen omkring hackerangreb på danske virksomheder udvikle sig, spår direktør Ulf Munkedal fra det danske it-sikkerhedsselskab FortConsult, som er en del af NCC Group, efter EU i går fremlagde sin fremtidige persondataforordning. To af de mest kontroversielle bestemmelser i den kommende persondataforordning med virkning fra starten af 2018 er, at virksomhederne skal melde til myndigheder og alle berørte kunder/brugere, hvis persondata er blevet kompromitterede. Og når der har været brud på persondatasikkerheden, kan virksomhederne desuden risikere bøder på op mod fire procent af årsomsætningen. ”Omkring 10 virksomheder om dagen – både store og små – vil være tvunget til at indrømme små og store datakompromitteringer. Virksomhederne er nervøse for indførelsen, ja faktisk meget nervøse, fordi de tror, at disse sager om brud på persondata kan gå ud over deres omdømme.” Sådan svarer Ulf Munkedal direkte adspurgt om konsekvenserne af indførelsen af persondataforordningen i Danmark og i resten af EU. ”Indtil nu har mange selskaber helt egoistisk lagt låg på hackingsager, fordi det har været et tabu, hvor de i deres egen optik har haft alt at tabe. Virkeligheden er jo bare, at virksomheder
Indtil nu har mange selskaber helt egoistisk lagt låg på hackingsager, fordi det har været et tabu, hvor de i deres egen optik har haft alt at tabe. ULF MUNKEDAL Direktør, FortConsult
bliver hacket, og indførelsen af persondatafordningen bliver formentlig en ordentlig måde at oplyse om brud på,” fortsætter han. Med indførelsen af EU’s persondataforordning vil virksomhederne dog være i samme båd, og man skal ligesom sine konkurrenter oplyse om brud - og dermed kan god sikkerhed blive et konkurrenceparameter. I den sammenhæng vurderer Ulf Munkedal, at EU’s kraftige skærpelser på persondata-fron-
ten vil forbedre sikkerheden markant i Europa. ”Disse regler omkring oplysninger ved tab af persondata har eksisteret en lille håndfuld år i USA, hvor det har højnet sikkerheden. Sådan vil det formentlig også blive i Europa,” lyder det fra Ulf Munkedal. Blandt andet var der en større sag i sommers, hvor det sociale medie LinkedIN blev hacket af russere, og hvor virksomheden selv fulgte med i sagen og hjalp sine brugere undervejs. For sideløbende med hackernes distribution af brugernes password tog LinkedIN selv initiativ til at resette disse passwords for at beskytte kunderne. ”Det er dog ikke altid sikkert, at en virksomhed ved, at den er blevet kompromitteret, da der i gennemsnit går trekvart år, før en virksomhed ved, at den er blevet ramt,” siger Ulf Munkedal. Fede tider venter for flere brancher Han repræsenterer desuden en branche - it-sikkerhedsbranchen, som sammen med eksempelvis advokater og forsikringsbranchen med sine hackerforsikringer vil kunne se fede og travle tider i møde med de nye EU-persondataregler. ”Vi er jo en del af NCC, og både internationalt og i Danmark skal vi have mange flere it-sikkerhedsfolk for at kunne følge med den generelle udvikling på sikkerhedsfronten og ved indførelsen af EU’s kommende persondata-regler. Spørgsmålet er så bare, om vi kan få de folk, som vi får brug for,” forklarer Ulf Munkedal. I runde tal regner han med, at NCC Group skal gå fra 1.800 ansatte til cirka 4.000 folk inden for de næste tre til fem år, mens FortConsult skal vokse fra 40 til knap 100 medarbejdere i samme periode. Han nævner også, at EU’s nye regler vil få stor betydning for ansættelsen af embedsmænd med databrud for øje, hvor eksempelvis det danske Datatilsynet formentlig vil blive en del større for at kunne følge med indberetningerne. n
Computerworld Events Kontakt Maibritt Møller på tlf.: 77 300154
Se all konferencer på computerworldevents.dk