Danske myndigheder og virksomheder bør allerede nu starte forberedelserne på EU’s persondataforordning, som forventes at træde i kraft inden for de næste år. Folketingets retsudvalg har for nyligt afgivet en beretning om datasikkerhed, som generelt varsler stramninger af persondataloven.
I kølvandet på Se & Hør-sagen nedsatte Folketingets Retsudvalg en arbejdsgruppe om datasikkerhed. Formålet med arbejdsgruppen var at foretage en bred afdækning af beskyttelsen af borgernes følsomme og fortrolige oplysninger, som spænder lige fra indkomstoplysninger til de mest private oplysninger. Arbejdsgruppen fokuserede på fem overordnede områder, som vi gennemgår nedenfor.
1. Principper for datasikkerhed
Arbejdsgruppen opstiller 17 anbefalinger, hvor der især er grund til at fremhæve følgende:
- Et overordnet princip om, at den dataansvarlige private virksomhed eller offentlige myndighed skal være sit ansvar bevidst
- Kravene til sikkerhed og beskyttelse af personoplysninger skal øges, hvis der behandles fortrolige og følsomme oplysninger
- Et grundlæggende princip om, at den dataansvarlige altid har ansvaret for sikkerheden omkring de følsomme og fortrolige oplysninger, også når behandlingen af oplysningerne er outsourcet til en selvstændig databehandler.
- Den selvstændige databehandler skal også kunne stilles selvstændigt til ansvar, hvis de persondataretlige regler ikke overholdes
- Et grundlæggende princip om, at misbrug af følsomme og fortrolige oplysninger bør straffes.
- Arbejdsgruppen giver desuden udtryk for, at der skal være grænser for, hvor indgribende og omfattende et samtykke der kan gives på egne eller andres vegne, i forhold til salg og udnyttelse af følsomme og fortrolige personoplysninger.
2. Tilsynet med overholdelse af persondataloven
Datatilsynet får øgede ressourcer og beføjelser. Det sker som konsekvens af, at arbejdsgruppen vurderer, at der er behov for et mere effektivt tilsyn med overholdelsen af persondataloven.
3. Øgede sanktionsmuligheder ved brud på persondataloven
Arbejdsgruppen er af den opfattelse, at en effektiv dansk tilsynsmyndighed bør have tilstrækkelige sanktionsmuligheder, og at Datatilsynets nuværende sanktionsmuligheder ikke er tilstrækkelige.
Arbejdsgruppen er endvidere af den opfattelse, at den nuværende differentiering mellem sanktionsmuligheder i forhold til offentlige og private dataansvarlige skal ophæves, så alle dataansvarlige – uanset om de er offentlige eller private – kan gives de samme sanktioner.
4. Samling af ansvaret for datasikkerhed
Arbejdsgruppen anbefaler, at datasikkerhedsområdet samles under én ansvarlig minister, og at der fra næste folketingsår etableres et selvstændigt udvalg i Folketinget, der skal tage sig af datasikkerhedsområdet.
5. Tekniske krav til sikring af følsomme og fortrolige personoplysninger
Det anbefales, at princippet om privacy by design inddrages i alle fremtidige offentlige it-projekter, herunder at princippet indføres som et krav til samtlige leverandører af offentlige it- og digitaliseringsløsninger. Arbejdsgruppen støtter desuden op om, at implementeringen af sikkerhedsstandarden ISO 27001 i offentlige institutioner skal fremskyndes.
Endelig anbefaler arbejdsgruppen, at der bliver bedre kontrol af rollebaserede adgange til persondata. Dermed minimeres risikoen for, at medarbejdere får adgang til oplysninger, som de ikke har et sagligt behov for.
Praktiske konsekvenser – Bech-Bruuns kommentarer
Det er vores vurdering, at en række af de stramninger, som arbejdsgruppen vedrørende datasikkerhed foreslår, allerede følger af den eksisterende lovgivning og derfor skal overholdes af dataansvarlige og databehandlere i dag. En anden gruppe af stramningerne følger, når den kommende persondataforordning vedtages og træder i kraft.
Men samlet set er beretningen om datasikkerhed et udtryk for, at dataansvarlige myndigheder og private virksomheder ikke længere kan ignorere de persondataretlige krav, som har været gældende i de sidste 15 år, og som skærpes i fremtiden. Myndigheder og private virksomheder, som endnu ikke har fået taget hul på arbejdet med at skabe persondataretlig compliance, oplever ofte, at det er en uoverskuelig opgave, hvor det er vanskeligt at finde et start- og et slutpunkt.
Som de eneste i Danmark har Bech-Bruun udviklet et særligt persondata pre-audit-produkt til dataansvarlige virksomheder og offentlige myndigheder. En pre-audit vurderer virksomhedens eller den offentlige myndigheds aktuelle complianceniveau i forhold til persondataloven. Pre-auditten gennemføres blandt andet ved interviews af nøglepersoner hos den dataansvarlige samt via gennemgang af centrale politikker, aftaler, anmeldelser og instrukser. En pre-audit udmønter sig i en operationel ledelsesrapport med konkrete anbefalinger til forbedringer.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
-medium.jpg){kind=logo}
