GDPR-junglen: Forstå de vigtigste regler
Bliv klogere på, hvordan og hvorfor GDPR påvirker os alle i stigende grad.
GDPR, Databeskyttelsesforordningen og Persondataforordningen.
Kært barn har mange navne.
Men hvad står de fine navne og forkortelsen egentlig for? Og hvad betyder den for os alle? Læs med her og bliv klogere på GDPR.
GDPR står for General Data Protection Regulation og er en lovgivning, som er indført af EU.
Databeskyttelse blev særlig relevant den 25. maj 2018, da alle virksomheder fra denne dato skulle efterleve GDPR-reglerne.
Reglerne skal beskytte os alle og de data, vi efterlader os. Men de mange regler kan være lidt af en jungle, som det er nemt at fare vild i, selvom reglerne faktisk ikke er helt så nye, som man skulle tro.
Det fortæller Allan Frank, som er IT- og Sikkerhedskonsulent ved Datatilsynet.
- De regler, der trådte i kraft d. 25 maj. 2018, er faktisk stort set identiske med de regler, som har været gældende siden år 2000 i Persondataloven. Så det er faktisk ikke blevet sværere at være data-ansvarlig. Den store forskel ligger i, at der er kommet et større fokus på at overholde reglerne siden 2018, siger Allan Frank.
Et af de største krav i GDPR er kravet til at dokumentere, at personoplysninger behandles efter reglerne.
- Det er en af de ting, som der er kommet et øget fokus på efter GDPR trådte i kraft i 2018. Både forbrugere og dem, der har ansvaret for data, har ligesom fået anledning til at stille flere spørgsmål til, hvordan vores data bliver brugt, Siger Allan Frank.
Hvorfor er det vigtigt?
GDPR handler først og fremmest om at sikre brugere, kunder og ansattes personoplysninger. Noget som aldrig har været vigtigere, efter internettet er blevet mainstream.
Vi sender emails, deler dokumenter, betaler regninger og køber varer ved at indtaste vores personlige oplysninger online. Det er informationer og data, der kan misbruges i de forkerte hænder.
- Hvis man kan blive identificeret, så er der en kriminel værdi i at prøve at udnytte de mange oplysninger, der er på os. Det kan være at få fat i netbankoplysninger, CPR-oplysninger eller andet. Det er klart, at jo flere oplysninger de kriminelle har, jo flere muligheder får de kriminelle, siger Allan Frank.
Og det er her GDPR skal hjælpe. Som borger eller kunde har man for eksempel “retten til at blive glemt”.
En rettighed, der kan indebære, at data skal slettes eller “anonymiseres”, så man ikke længere kan finde oplysningerne.
GDPR gælder næsten alle
Alle, der regelmæssigt behandler personoplysninger, er omfattet af lovgivningen.
Ifølge GDPR defineres personlige data som enhver form for information relateret til en person såsom navn, billede, en emailadresse, bankoplysninger, opslag på sociale medier, oplysninger om lokation, helbredsinformation eller en IP-adresse.
Det betyder for eksempel, at virksomheder eller kommuner er omfattet, hvis de behandler personoplysninger til lønudbetaling.
Det samme gælder kunder, som en virksomhed handler med. Her er blandt andet personoplysninger, som kunderne giver virksomheden, så varerne kan blive leveret og betalt, omfattet.
Sådan kunne man blive ved med at remse op. Med andre ord er næsten alle omfattet af GDPR.
Mange virksomheder halter efter
Men selvom reglerne trådte i kraft for godt halvandet år siden, så er det først for nylig, at mange virksomheder er begyndt at røre på sig for at efterleve de nye regler.
I en undersøgelse, som omfatter mere end 800 IT- og forretningsfolk med ansvar for persondatabeskyttelse hos virksomheder med europæiske kunder, har Dell and Dimension Research konstateret, at 80 procent af virksomhederne kun har lidt eller slet ingen viden om GDPR.
- Vi kan allesammen blive bedre til at sikre vores data, og man kan sige, at man kunne måske godt blive bedre til at løse de her opgaver fælles, ved at flere kommuner for eksempel går sammen om opgaven. Men i sidste ende er det den enkelte data-ansvarlige, som har ansvaret, siger Allan Frank.
IT- og Sikkerhedskonsulenten mener, at GDPR "lige skal finde sit leje" i hele samfundet. Men han er overbevist om, at reglerne er gode nok til, at de nok skal ende med at sikre os allesammen bedre i den digitale verden.
Test din virksomhed
For at hjælpe de mange virksomheder, som er i tvivl, har Erhvervsstyrelsen og Datatilsynet udviklet en test, som de kalder for PrivacyKompasset.
Testen skal hjælpe virksomheder i gang med at efterleve databeskyttelsesreglerne og få svar på helt basale spørgsmål i forhold til ansvarlig datahåndtering.
Millionbøder skal afskrække
Virksomhederne skal kunne dokumentere, at de efterlever GDPR-lovgivningens mange regler. Så, hvis man ikke overholder reglerne, kan det ramme virksomheden ekstremt hårdt.
I EU har man ønsket, at bøderne skal have en afskrækkende effekt. Det betyder reelt, at en virksomhed kan risikere bøder på op mod næsten 150 millioner kroner.
Den ansvarlige kan også komme i fængsel.
Kan man ikke få nok af GDPR og gerne blive endnu klogere på emnet, så kan man læse mere her.