Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Nu bliver det nemmere at overholde GDPR-lovgivningen

TVC Advokatfirma
05/12/2023
Nu bliver det nemmere at overholde GDPR-lovgivningen
TVC Advokatfirma logo
Datatilsynet har netop offentliggjort et katalog over sikkerhedsforanstaltninger, der skal sikre et passende sikkerhedsniveau i virksomheder og myndigheders overholdelse af GDPR-lovgivningen.

Virksomheder og myndigheder skal sikre at deres behandling af personoplysninger er i overensstemmelse med GDPR-lovgivningen, hvilket betyder, at der skal etableres et passende sikkerhedsniveau. Datatilsynet har offentliggjort et katalog over sikkerhedsforanstaltninger, som virksomheder og myndigheder kan overveje for at sikre et passende sikkerhedsniveau. Indtil nu har der fra Datatilsynets side været en bred tilgang til dette, men kataloget af foranstaltninger skal overskueliggøre identificeringen af risici samt implementeringen af relevante foranstaltninger.

Et effektivt værktøj til databehandling

Hver gang man indsamler, opbevarer, videregiver, ændrer eller sletter en oplysning om en anden person, er der tale om en behandling af personoplysninger der er omfattet af databeskyttelsesreglerne. Reglerne i databeskyttelsesloven tilsiger, at man skal sikre, at der er taget højde for de risici, der er forbundet med den pågældende persondatabehandling. Disse risici kan for eksempel være, at uvedkommende får adgang til oplysningerne, eller at oplysningerne slettes.


Kataloget indeholder en række tiltag, der kan implementeres for at imødekomme de risici, virksomhedernes behandling af personoplysninger, kan medføre. Hver foranstaltning er ledsaget med en uddybning af, hvilke risici der kan nødvendiggøre implementeringen af foranstaltningen, samt hvordan den praktiske implementering af foranstaltningen kan foregå.


Det er erfaringsmæssigt udfordrende for virksomheder og myndigheder at gennemskue, hvilke risici der opstår ved behandling af personoplysninger, og hvordan man hertil iværksætter tiltag der etablerer et passende sikkerhedsniveau.


Datatilsynets katalog af foranstaltninger skal gøre det nemmere at finde ud af, hvilken foranstaltning der er passende, og hvordan denne skal implementeres. Det er tilsigtet, at kataloget skal fungere som et værktøj for virksomheder og deres persondataansvarlige, der kan bruge det som et opslagsværk. Vi bemærker dog, at samlingen af foranstaltninger ikke skal anses for udtømmende, og at virksomheder fortsat må indføre øvrige foranstaltninger, der ikke fremgår af kataloget.


Klik her for at se kataloget af foranstaltninger.

Konkrete foranstaltninger

Foranstaltningerne er udvalgt på baggrund af Datatilsynets erfaringer fra tidligere anmeldte datasikkerhedsbrud, tilsyn hos private og offentlige virksomheder samt af databeskyttelsesregler i øvrigt. Deres formål er rettet mod at forebygge, opdage eller korrigere risikoen ved persondatabehandling, så man enten mindsker eller opretholder status quo for en bestemt sikkerhedsrisiko.


Der er ikke et entydigt svar på, hvilke foranstaltninger der skal implementeres i specifikke behandlingssituationer. Det beror i stedet på en konkret risikovurdering af personbehandlingens stadier.

Fokus på tekniske sikkerhedsforanstaltninger

Datatilsynet har tidligere meddelt, at man ved anmeldte sikkerhedsbrud ser en tendens der viser, at organisationer og virksomheder primært vælger at indføre organisatoriske foranstaltninger. Af den årsag har tilsynet sat fokus på, at tekniske foranstaltninger ligeledes skal overvejes i databeskyttelsesøjemed.


Se for eksempel Datatilsynets nyhed vedrørende brugen af auto-complete i mailprogrammer, hvor praksis skærpes således, at det bliver et krav at have indført tekniske foranstaltninger.


Kataloget af foranstaltninger byder på en række tekniske foranstaltninger, som ikke tidligere er offentliggjort af Datatilsynet. Vi anbefaler derfor, at din virksomhed overvejer de nye tiltag.


De tekniske foranstaltninger der fremgår af kataloget, er følgende:


  • Adgangsrettigheder efter behov
  • Automatisk lukning af inaktive adgange
  • Backup
  • Centraliseret rettighedsstyring
  • Dataadgang efter behov
  • Flerfaktorautentifikation (MFA)
  • Funktionsadskillelse
  • Logning af brugeradministrators handlinger
  • Logning af brugernes anvendelser af personoplysninger
  • Pseudonymisering og anonymisering
  • Rollebaserede adgangsrettigheder
  • Tilpasning af adgangsrettigheder ved ændring af ansættelsesforholdet
  • Ændringsstyring (Change Management)


Konsekvensen ved at overtræde GDPR-lovgivningen

Datatilsynet kommer hyppigt på både anmeldte og ikke-anmeldte tilsyn hos virksomheder der fungerer som dataansvarlig eller databehandler. Der modtages tillige klager fra enkeltpersoner, der kan gøre tilsynet opmærksom på en myndigheds eller virksomheds sikkerhedsbrud.


Hvis det viser sig, at der er forhold der giver anledning til at sætte spørgsmålstegn ved, om der er et passende sikkerhedsniveau for den udførte persondatabehandling, kan Datatilsynet udtale kritik, give påbud eller indstille til bøde.


For eksempel blev hotelkæden Arp-Hansen i september 2023 idømt en bøde på 1 mio. kroner for manglende sletning af kundeprofiler i deres arbejdssystem. Sagen anses som principiel, da den bidrager til fastsættelsen af bødeniveauet for private virksomheder.


Læs afgørelsen her.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Artikler, der kunne være relevante for dig
Anmodningsprocessen for toldovervågninger i EU bliver papirløs
Anmodningsprocessen for toldovervågninger i EU bliver papirløs
17/11/2023
Immaterialret, EU-ret
Data Act - Dataadgang versus IP-rettigheder
Data Act - Dataadgang versus IP-rettigheder
23/11/2023
Immaterialret, Persondata
Irmapigen sejrer i Sø- og Handelsretten
Irmapigen sejrer i Sø- og Handelsretten
13/12/2023
Konfliktløsning, Immaterialret, Retssager og voldgift
De immaterialretlige risici ved kunstig intelligens (AI)
De immaterialretlige risici ved kunstig intelligens (AI)
18/12/2023
Immaterialret, IT- og telekommunikation
Beskyt dine aktiver: Sådan sikrer SMV'er tilskud til varemærke- og designbeskyttelse
Beskyt dine aktiver: Sådan sikrer SMV'er tilskud til varemærke- og designbeskyttelse
12/02/2024
Immaterialret
EU's AI-lov: Et vigtigt skridt for musikindustrien og kampen mod ulovlig brug af musik
EU's AI-lov: Et vigtigt skridt for musikindustrien og kampen mod ulovlig brug af musik
14/02/2024
Immaterialret, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted