GDPR – Begynd allerede nu

 

Selvom den har været længe undervejs, ændrer den nye EU-persondataforordning (GDPR) spillereglerne for den måde, virksomheder i EU lagrer, behandler og overfører persondata på. Den får også stor betydning for virksomheder uden for EU, som handler med personer med bopæl i EU. De drejer sig om stort set alle større e-handelsvirksomheder i verden!

Derfor bør du bruge nogle minutter på at læse om nogle af grundene til, at du ikke bør vente indtil deadline for overholdelse af EU-persondataforordningen den 25. maj 2018.

Den er gældende lov

EU-persondataforordningen er gældende lov i alle EU’s medlemslande, og din virksomhed forventes at overholde den fuldt ud før deadline.

Bøde og strafforanstaltninger

EU-persondataforordningen har en findelt opbygning. En virksomhed kan blive idømt en bøde på op til 2 % af sin omsætning, hvis registrene ikke er i orden (artikel 28), hvis den ikke informerer tilsynsmyndigheden og den person, dataene tilhører, om et brud på sikkerheden (artikel 31 og 32), eller hvis den ikke gennemfører vurdering af påvirkningen af fortroligheden (artikel 33). Overtrædelse af grundprincipperne for datasikkerhed (artikel 5) og betingelserne for forbrugerens samtykke (artikel 7) kan give anledning til en bøde på 4 %.

Du kan blive retsforfulgt

De personer, dataene tilhører, kan retsforfølge dataansvarlige og databehandlere og har ret til erstatning fra disse for skader, der opstår som følge af brud på EU-persondataforordningen.

Det er kompliceret

Alle organisationer skal foretage ændringer: I politikker, processer og kontrakter samt i tekniske og organisationsmæssige tiltag for overholdelse af reglerne. Enkelt sagt, så skal du ændre den måde, du håndterer kunder, samarbejdspartnere og interessehavere på.

Du får brug for passende tekniske og organisatoriske kontrolforanstaltninger

Artikel 24 angiver, at dataansvarlige skal implementere “passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning.” Det er ikke noget problem, hvis du allerede opfylder ISO 27001, men hvis du kun har implementeret grundlæggende datasikkerhed, så har du en stor opgave, der skal løses på kort tid. Og du skal selvfølgelig kunne dokumentere samtlige af disse processer.

Vurdering af påvirkning af persondatasikkerheden

Dette er nu obligatorisk for organisationer, som anvender teknologier og processer, der med sandsynlighed vil medføre stor risiko for de registrerede personers rettigheder og frihedsrettigheder.

Brud på persondatasikkerheden

Det bliver nu obligatorisk (artikel 33) for organisationerne at anmelde brud på persondatasikkerheden til tilsynsmyndigheden inden for 72 timer, efter at de har fået kendskab til det. De skal også oprette team, der skal reagere på hændelser, og processer for anmeldelse af brud på persondatasikkerheden, herunder løbende test og vedligeholdelse.

Hvis du mener, du skal i gang med det samme, så anbefaler jeg, at du straks tilmelder dig vores næste Certificerede grundkursus i EU-persondataforordningen (GDPR).

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.