SAMDATA\HK-formand: ”Virksomhederne har været alt for sløsede med datasikkerhed”
Hvis virksomhederne havde været bedre til at sikre deres data, er det slet ikke sikkert, at vi havde fået EU’s databeskyttelsesforordning. Det mener SAMDATA\HK’s formand Thomas Bisballe.
”Groft sagt kan man se forordningen som en slags dummebøde fra EU. Når virksomhederne ikke selv har kunnet finde ud af at sørge for et højt sikkerhedsniveau, må myndighederne træde til med skrappe regler.”
Thomas Bisballe mener også, at det særligt er de private virksomheder, der har vist sig at være sløsede med datasikkerheden, mens det offentlige mere er villige til at tage udgifterne ved at skabe god sikkerhed.
Omfattende nye regelsæt
Og det er en ret omfattende pakke af regler, som myndigheder og store virksomheder skal til at forholde sig til. Organisationen skal dokumentere al databehandling og ikke mindst skal der være styr på, hvem der har adgang til hvad.
”Det nye er, at der bliver stillet klare krav om at kunne dokumentere tingene. Vejen frem er at fokusere på risikovurdering- og styring. Det er heldigvis en bevægelse væk fra tanken om, at man kan stoppe alt. Nu er det vigtigste at have planer for, hvad man gør for at stoppe tingene hurtigst muligt,” siger Thomas Bisballe.
Groft sagt kan man se forordningen som en slags dummebøde fra EU.
Thomas Bisballe, formand, SAMDATA\HK
Jobs i at vide noget om sikkerhed
”Der er ingen tvivl om, at det her skaber mange jobs,” vurderer Thomas Bisballe. ”For mange af vore medlemmer, kan det være en god ide at gøre chefen opmærksom på de nye krav – og det tilhørende behov for efteruddannelse. Forhåbentligt sætter virksomhederne deres kursusbudgetter i vejret. Sikkerhedsområdet er i vækst, og er man godt klædt på, kan det være en god måde at sikre sig et job i fremtiden.”
De nye regler specificerer fx en helt ny rolle som databeskyttelsesrådgiver (Data Protection Officer / DPO), der kræver både juridisk indsigt og IT-videnskab. Rådgiveren rapporterer direkte til ledelsen og for nogle medarbejdere, vil det være oplagt at gå efter at få den rolle.
Men de nye regler vil også betyde, at der opstår et marked for produkter, der integrerer sikkerheden, vurderer Thomas Bisballe. Der findes fx allerede mange løsninger, der automatiserer adgangsstyring til dokumenter, så kun de rette personer får adgang, og så alle opslag logges. Den type behov vil klart vokse med de nye EU-regler.
Især størrelsen på bøder vil ændre på firmaernes holdninger til datasikkerhed. Hidtil har været risikabelt for medarbejdere at påpege huller i IT-sikkerheden, fordi man så udstillede, at en chef ikke havde styr på sit område.
”Nu er der så meget på spil, at virksomheden ikke har råd til ignorere risikoen,” understreger Thomas Bisballe.
Moral får man ved at blive udfordret
Selv om nogle procedurer bliver tungerer, hilser Thomas Bisballe de nye regler velkomne:
”I alle de IT-skandaler jeg har kendt, er der nogle revisorfirmaer, der har godkendt, at tingene var tip-top. Hvordan kunne det lade sig gøre?,” spørger han retorisk.
”Moral får man kun ved at blive udfordret. Det gælder alle – også virksomheder. Det må blive vores opgave at tale den korrekte opførsel op de næste par år,” siger Thomas Bisballe.
De vigtigste regler i EU’s databeskyttelsesforordning
EU’s databeskyttelsesforordning gælder i hele EU og afløser de danske regler. Virksomheder og myndigheder får en to årig periode til indkøringen, hvorefter reglerne træder i kraft fra ca. juni 2018.
Der er tale om en omfattende forordning på 260 sider, der vil blive suppleret af danske fortolkninger fra Justitsministeriet. Her er nogle af hovedpunkterne.
Alle dokumenter med personlige data omfattet
Alle dokumenter og databaser, der indeholder personlige oplysninger, er omfattet. Samtidigt skal de personlige data være beskyttet hele tiden, både når de lagres, tilgås og sendes.
Dokumentation af databehandling
Det bliver blandt andet et krav, at organisationen har dokumenteret al databehandling, at de har lavet en klassificering af data, så de ved, hvor risikoen for lækage af følsomme data er størst – og ikke mindst, at de har styr på, hvem der har adgang til hvad.
3 døgn til at rapportere datalæk
Med den nye forordning har virksomhederne pligt til at indrapportere datalæk til myndighederne inden for 72 timer.
Aktivt tilsagn og ret til sletning
Det er afgørende, at organisationen har fået et eksplicit tilsagn om opbevaring af data fra borgerne, der også får ret til at få slettet eller overflyttet data, når de fx ikke er kunder længere.
Langt større bøder
Organisationer kan blive udsat for et tjek af, om de overholder reglerne, og bødeniveauet er hævet betragteligt. EU kan give bøder på op til 4 % af firmaets koncernomsætning.
Udpegning af datasikkerhedsrådgiver (DPO)
Næsten alle offentlige organisationer og virksomheder med mere end 250 ansatte skal som udgangspunkt udpege en datasikkerhedsrådgiver (Data Protection Officer – DPO). Vedkommende skal være uafhængig, referere direkte til ledelsen, og får ansvaret for, at virksomheden overholder de nye regler om databeskyttelse.
Skriv en kommentar
This site uses Akismet to reduce spam. Learn how your comment data is processed.