Nye EU-dataregler betyder nye regler, systemer og jobs
Om to år skal din organisation være klar til at overholde EU’s nye regler om databeskyttelse.
Det kan lyde som god tid, men der er mange kontrakter, systemer og ikke mindst procesbeskrivelser, der skal være på plads, og bøderne kan ende på helt op til fire procent af virksomhedens omsætning, hvis man ikke har gjort sit hjemmearbejde.
Styr på tilladelser og adgange
Henrik Brix, der er formand for IT-cheferne i kommunerne fremhæver tre områder, som han vurderer, vil komme til at koste kræfter.
”Det bliver nødvendigt at tjekke, at man har styr på sin autorisationsstruktur, så folk ikke har adgang til mere, end de har behov for. Selv om jeg er IT-chef, har jeg fx intet at gøre nede i konkrete sagsmapper, og måske skal vi styre det endnu mere præcist end på mappe-niveau,” understreger Henrik Brix.
Med EU’s nye regler bliver det endnu mere klart, at data tilhører borgerne og, at de skal give et konkret samtykke. Det kan blive en udfordring. Samtidigt skal man have gennemtænkt, hvordan borgerne kan få slettet deres data, hvis de er forældede, eller hvis vedkommende ikke er kunde længere.
”Det bliver især nødvendigt at genvurdere, om vi har indhentet de rette samtykker fra folk – fx inden vi deler data med andre myndigheder,” siger Henrik Brix.
Et godt råd til folk, der overvejer at beskæftige sig med området er, at man downloader selve databeskyttelsesforordningen.Hvis man synes det er kedeligt, så er man ikke den rigtige person Henrik Brix.
Kan havne i det røde felt
Hos cBrain, der leverer dokumentsystemer til det offentlige, fremhæver jurist Thomas Ginnerup-Nielsen nogle af de samme emner – op supplerer:
”Man skal virkeligt tjekke, at man har en ordentlig beskrivelse af ens data, og hvad man gør ved dem. Hvis man ikke kan beskrive det, så er man oppe i det røde felt. Det er et område, hvor man ikke har den helt store tradition for at have den type overblik.”
”Det bliver også øgede krav til, hvad der skal stå i databehandleraftaler for drifts- og underleverandører. Der kommer et kontraktspor fra den kontraktansvarlige – helt ned til den, der har data liggende. Det giver en del arbejde med at gennemgå alle leverandøraftaler, vurderer Thomas Ginnerup-Nielsen.”
Hvad med anonym sagsbehandling?
Skærpelsen af kravene til datasikkerhed gør det også oplagt at tænke i nye og sikrere løsninger, vurderer Bjørn Borre, der er sekretariatschef i IT-Branchen.
”Tag en sag som Helle Thornings skattesag. Man kan jo designe systemet, så man minimerer antallet af folk, der har adgang, og man kunne også lave et logsystem, så man kan se hvem, der har haft adgang til ens sagsmappe. Tager man det et skridt videre, kan man jo også anonymisere brugerne. Er det overhovedet nødvendigt at vide, hvem en skattesag handler om for, at man kan behandle den?”
Færre data mindsker hacker-risikoen
I mange år har vi vænnet os til, at mængden af data altid stiger. Men EU’s nye regler kan godt betyde, at firmaerne tænker sig om en ekstra gang, før de tvinger folk til at aflevere oplysninger, vurderer Bjørn Borre.
”Desto større datasæt man ligger inde med, desto større en lækkerbisken er man for både hackere og intern misbrug. Det kan blive virkeligt dyrt i bøder, hvis man rammes af en lækage. Derfor bør man nøje overveje, om man virkeligt har brug for alle de oplysninger, man har for vane at lagre om kunderne.”
I mange år har vi vænnet os til, at mængden af data altid stiger. Men EU’s nye regler kan godt betyde, at firmaerne tænker sig om en ekstra gang, før de tvinger folk til at aflevere oplysninger.Bjørn Borre
En kamp mellem jurister og IT-folk
En af de lidt mere specifikke regler er kravet om, at organisationen skal udpege en databeskyttelsesrådgiver (Data Protection Officer – DPO), der skal overvåge om de nye regler bliver overholdt. Databeskyttelsesrådgiveren skal referere direkte til ledelsen og være beskyttet, så vedkommende ikke kan fyres for at udføre sit arbejde.
Det spændende er, hvem der kommer til at løbe med opgaven. Reglerne specificerer, at vedkommende skal have indsigt i databeskyttelse – både juridisk og i praksis. Det peger både i retning af jurister og IT-specialister.
Hos cBrain, der leverer dokument-systemer til det offentlige, vurderer firmaets jurist og ekspert i de nye regler, Thomas Ginnerup-Nielsen, at det mest oplagte er at ansætte jurister.
”Jeg ser det juridiske som en meget vigtig side af opgaven. Nogle af de nye regler vedrører ikke kun bits og bytes, men om man har styr på sit hjemmelsgrundlag, om man får slettet sine data, når de ikke opfylder formål, etc. Her behøver personen ikke være tung på teknikken, men på reglerne.”
Henrik Brix, der er formand for de kommunale IT-chefer, ser imidlertid jobbet som en oplagt opgave for en IT-medarbejder – fx en digitaliserings- eller proceskonsulent i organisationen
”Jeg har svært ved at se, hvordan jobbet skulle passes af en jurist. Det er en meget aktiv rådgiverfunktion, hvor man skal kende både organisationen og systemerne, så man kan rådgive om, hvordan løsningerne både bliver operationelle og lovlige. Det kræver både forretningsforståelse, organisationsforståelse og teknologisk indsigt. Mest oplagt er nok af lade IT-chefen varetage jobbet.”
Behov for uddannelse
De 260 sider med forordninger fra EU er grundlaget for de nye regler, men en stribe af forordningerne giver plads til lokale fortolkninger. Derfor skal man regne med, at der kommer en stribe præciseringer fra Justitsministeriet i løbet af de næste par år.
Dermed er der både behov for, at man sætter sig ind i området – fx med efteruddannelse – og at man løbende følger med de næste par år.
”Et godt råd til folk, der overvejer at beskæftige sig med området er, at man downloader selve databeskyttelsesforordningen. Hvis man synes det er kedeligt, så er man ikke den rigtige person,” lyder det tørt fra Henrik Brix.
Skriv en kommentar
This site uses Akismet to reduce spam. Learn how your comment data is processed.