– Af Frederik Helweg-Larsen, Expert Director
Når EU’s Persondataforordning træder i kraft, skal vi vænne os til en ny tid, hvor informationer, der vedrører personer, skal behandles med særlig omhu. Vi skal vænne os til, at vi kun låner disse informationer. Vi skal passe og pleje informationerne, mens de er i vores varetægt, og de skal slettes, når vi ikke længere har brug for dem. Det stiller krav til systemer og processer.
Et paradigmeskift i datahåndtering
EU’s Persondataforordning er på vej, og det skaber røre. Det vrimler med konferencer og eksperter, der vil hjælpe virksomheden med et ’quickfix’ – det være sig advokater, IT-sikkerhedsfolk eller proceskonsulenter. Og vi møder ofte virksomheder, der først og fremmest er ude efter en tjekliste, så de kan være sikre på at leve op til de nye regler og dermed nå i mål.
Men sandheden er, at forordningen ikke implementeres med en tjekliste, og det er ikke nok med juridisk eller teknisk indsigt. At implementere EU’s Persondataforordning er en multidisciplin, der involverer mange forskellige fagligheder. En succesfuld implementering forudsætter et paradigmeskift for at håndtere persondata. Jo hurtigere du forstår den nye virkelighed, des bedre er du stillet. Juridisk, etisk og konkurrencemæssigt.
Det betyder også, at implementeringen ikke er klaret med samtykkeerklæringer og databehandleraftaler. En implementering af kravene i forordningen betyder i praksis, at IT-systemerne skal kunne håndtere, at data nu har en livscyklus, og at de på et tidspunkt skal slettes.
Det handler om dem, ikke os
Først og fremmest handler forordningen ikke om os, virksomheder og organisationer, men om dem, borgerne, medarbejderne og kunderne. Formålet er at beskytte rettighederne for de mennesker, hvis persondata virksomheden opbevarer. Derfor er det vigtigste at forstå, at det er borgerens data. 
Virksomheden låner persondata i en begrænset periode og har et ansvar for at tage vare på dem – det er kernen i forordningen.
Når det er sagt, så er det også værd at huske på, at vi alle sammen er borgere og kunder og har vores data opbevaret hos andre. En god start er derfor at behandle andre, som man gerne selv vil behandles.
De syv styrende principper
Heldigvis er det relativt enkelt at sætte sig ind i formålet med forordningen. Det er nemlig udtrykt i de syv styrende principper, beskrevet i artikel fem. Hvis du taber tråden undervejs i de 99 artikler, kan du altid gå tilbage til de syv principper og se, hvad det grundlæggende handler om, nemlig beskyttelse af borgernes rettigheder.
1. Lovlighed, rimelighed og gennemsigtighed
Oplysningerne skal behandles lovligt, rimeligt og på en gennemsigtig måde for den registrerede. Man kan altså ikke dække sig ind bag juridiske
aftaler, hvis aftalerne ikke er rimelige og klare.
2. Formålsbegrænsning
Oplysningerne må kun indsamles til de eksplicit angivne saglige formål, de er indsamlet til. Vi går fra nice-to-have til need-to-have.
3. Dataminimering
Som en naturlig konsekvens af princip nummer 2 bør virksomheden konsekvent arbejde på at minimere mængden af persondata. Det vil være en byrde at administrere unødvendige data, og vi vil derfor fremover se virksomheder, der afviser data, fordi de pålægger virksomheden en ekstra omkostning.
4. Rigtighed
Virksomheden skal kunne stå inde for rigtigheden af sine persondata. Du må ikke have urigtige personoplysninger liggende, men skal sikre dig deres validitet, også selvom du ikke bruger disse data aktivt.
5. Opbevaringsbegrænsning
Dette princip er en ’game changer’, i forhold til hvad mange virksomheder er vant til. Det er de færreste, der i dag har automatiserede procedurer for sletning af data. Mange persondata må kun opbevares i seks måneder, og det er for de fleste en uoverkommelig opgave at slette data manuelt. Derfor bør virksomheden se i retning af systemer, der kan automatisere processen.
6. Integritet og fortrolighed
Oplysningerne skal beskyttes mod uberettiget eller ulovlig behandling, ødelæggelse og beskadigelse. Dette er en klassisk og kendt disciplin, som de fleste virksomheder har lang erfaring med. I tilfælde af et brud på fortroligheden skal de berørte datasubjekter informeres uden unødigt ophold. Det er en praktisk udfordring i mange virksomheder og betyder ofte, at beredskabet skal strammes op, særligt inden for krisekommunikation.
7. Ansvarlighed
De dataansvarlige har ansvaret for og skal kunne dokumentere, at grundprincipperne er overholdt. I mange virksomheder er dette ansvar endnu ikke præciseret eller placeret.
Hvad betyder databeskyttelse ved standardindstillinger for ESDH- og ECM-systemet?
Det vil ikke være muligt at overholde forordningen 100 procent hele tiden, men det er vigtigt at komme i gang og demonstrere, at de grundlæggende principper er forstået og varetaget. Mange virksomheder vil således kunne nå langt ved at starte med at gennemgå de medarbejderrelaterede persondata, de ligger inde med. Samme øvelse kunne man foretage med kunde- og borgerdata, som er et andet vigtigt fokusområde for mange virksomheder.
Persondataforordningen beskriver strukturerede og ustrukturerede data. EDSH-systemer håndterer strukturerede data, da deres opbevaring følger fastlagte strukturer såsom angivelse af sagsnumre og andre relevante metadata, der muliggør en struktureret tilgang.
Systemer, der opbevarer ustrukturerede data, er fx mailsystemer og fildrev, som kun tilbyder begrænset struktur og derfor er mindre egnede til opbevaring af persondata.
Det betyder, at man skal vurdere sit ESDH-/ECM-system ud fra de egenskaber, der stilles til rådighed i forbindelse med korrekt håndtering af persondata. Det kaldes ’databeskyttelse gennem design og standardindstillinger’ og fremgår af artikel 25 i forordningen.
Der er en eksplicit definition af begrebet, men Justitsministeriet skriver:
”Køber den dataansvarlige et IT-system eller en IT-løsning, kan den dataansvarlige forsøge at løfte opgaven kontraktuelt ved at stille krav om, at systemet bygges i overensstemmelse med relevante bestemmelser i forordningen. Dette fritager dog ikke den dataansvarlige for ansvar og forpligtelser i henhold til forordningen.”
Devoteam har opstillet ti konkrete krav, der er relevante over for leverandører af ESDH- og ECM-systemer:
| # | Krav | Betydning |
| 1 | Styring af adgangsrettigheder |
Systemet skal kunne samarbejde med systemer til håndtering af brugerroller og rettigheder, således at tilgang til bestemte typer af informationer kan begrænses. |
| 2 | Logning af adgang |
Det skal være muligt at logge adgang til persondata, således at tilgangen kan dokumenteres. |
| 3 | Sletning af data |
Det skal være muligt at slette data i systemet, såfremt et datasubjekt skulle ønske at blive slettet. |
| 4 | Dataeksport |
Det skal være muligt at eksportere persondata i et bredt anvendeligt format. |
| 5 | Dataklassifikation |
Det skal være muligt at angive en klassifikation af data, som vil have betydning for deres behandling. |
| 6 | Sletteregel kan anføres |
Systemet skal understøtte en angivelse af individuelle sletteregler, evt. som en del af dataklassifikationen. |
| 7 | Automatisk sletning systemunderstøttes |
Systemet skal kunne håndhæve sletteregler, således at data slettes automatisk, når deres levetid er udløbet. |
| 8 | Kryptering, kommunikation | Kommunikation med systemet bør foregå over en sikker og krypteret forbindelse. |
| 9 | Kryptering, databaser |
Hvis data i systemet kan krypteres, vil det reducere risikoen for uautoriseret adgang til data. |
| 10 | Planer for opdatering af GDPR-egenskaber |
Leverandøren bør kunne redegøre for planerne for systemets understøttelse af kravene i persondataforordningen. |
Brug punkterne som inspiration til at stille dine egne spørgsmål til din leverandør. Det er vigtigt at forholde sig til relevansen af hvert enkelt krav.
Målet er et levedygtigt økosystem – en reel persondatapraksis
Mange virksomheder har indtil nu håndteret persondata efter bedste evne, men det er ikke en holdbar vej frem. Virksomheden bliver nødt til at etablere en persondatapraksis, der er tro mod de syv principper. Denne praksis skal beskrives, så den kan kontrolleres og fremvises som bevis på det
arbejde, der udføres.
En sådan praksis består af en organisering (roller, ansvar), en række discipliner i form af processer og kontroller, der løbende kan forbedres, samt en teknisk systemunderstøttelse, hvor det er muligt.
Kernekompetencer er nødvendige
En af de væsentlige udfordringer ved at implementere forordningens krav i praksis er, at det kræver en holdindsats. Opgaven kan ikke rummes af én person eller ét fagområde.
Hvis man nøjes med et enkelt fagligt område, fx det juridiske, vil virksomheden formentlig ikke nå rundt om hele implementeringen.
Man bør derfor sikre sig, at følgende kompetencer er repræsenteret i projektet:
- Tekniske IT-kompetencer til at sikre IT-understøttelse og digitalisering af arbejdsgangene
- Juridiske kompetencer til at tilpasse aftaler med kunder og leverandører
- Ledelse- og forretningskompetencer til at sikre, at arbejdsgange og adfærd justeres efter behov.
Syv kernediscipliner
De tre kernekompetencer skal anvendes inden for syv kernediscipliner, der er grundlæggende forskellige:
- Aftaler og kontrakter
- Aftaler med kunder/borgere skal være letforståelige og klare, så det ikke bliver juridiske røgslør. Underleverandører skal på samme måde indgå databehandleraftaler.
- Sikkerhed og beredskab
- Dette er en klassisk disciplin, hvor vi tager vare på fortrolighed og integritet samt behandler risici, når vi bliver opmærksomme på dem. Beredskabet skal tage højde for effektiv kommunikation i tilfælde af et brud på fortroligheden.
- Juridisk gennemgang
- Retspraksis og forordningens fortolkning vil ændre sig i de kommende år, og det er derfor vigtigt, at jurister til stadighed følger med og rettidigt vejleder organisationen.
- Databeskyttelse gennem design
- Denne disciplin dækker både over klassisk IT-sikkerhed og helt nye områder som fx IT-understøttelse af dataklassifikation, dataportabilitet og oplysningspligt. Det skal tænkes ind i IT-arkitekturen.
- Adgangsstyring
- En gammelkendt disciplin, som dog stadig udfordrer mange virksomheder. Ofte er adgangsstyring et område, der ’sander til’ eller har ’sorte huller’. Derfor skal det genbesøges.
- Informationers livscyklus
- Et nyt paradigme i vores behandling af informationer er, at vi skal kunne håndhæve sletteregler. Det er en disciplin, der skal IT-understøttes for at kunne fungere i praksis.
- Forretningsgange
- Man opnår næppe efterlevelse uden en justering af forretningsgange og praksis for behandling af persondata.
Persondataforordningen og ESDH- og ECM-systemerne
EU’s Persondataforordnings krav til behandling af datas livscyklus betyder nye krav til ESDH- og ECM-systemerne. De leverandører, der via deres systemer hjælper deres kunder til reelt at kunne implementere forordningen, står efter vores vurdering til at vinde betydelige markedsandele i de kommende år og har i 2017 en mulighed for at differentiere sig.
Vil du vide mere?
Så er du velkommen til at kontakte Frederik.
Vi stiller gerne op til faglige indlæg og individuelle møder om emnet.
