Datatilsynet om GDPR, EU’s databeskyttelsesforordning: »Det er møghamrende indviklede regler«

Der er godt 1 år til at du skal være klar hvis du vil håndterer data på EU borgere. Men i kølvandet på lovgivningen som ER trådt i kraft, er det opstået flere spørgsmål end svar. Vi står i en situation hvor mange jurister og konsulenter ikke kan svare på enkle spørgsmål.

Men fakta er, at dem som ikke er klar, får bøder som er meget store og ca. 95% af alle virksomheder er ikke klar endnu, hvilket skyldes manglende vejledning fra statens side. i USA derimod er alle markante aktører parat… selv med en mangelfuld lovgivning.

Amerikanske virksomheder har allerede budgetteret og investeret milliarder af kroner i paratheden til at opfylde denne omfattende privatlivslov der gælder for alle der vil i kontakt med EU borgere. Læs mere her.

EU’s Databeskyttelsesforordning (GDPR = General Data Protection Regulation) træder i kraft om 1 år, men kan ende med, at blive et udgiftsmæssigt mareridt, at nå det til tiden, også set i lyset af, at Datatilsynets egne folk er i tvivl og ikke kan svare endnu på relevante spørgsmål.

Det er en helt uacceptabel situation, at true alle landets virksomheder og resten af verdens virksomheder med bøder på 20 millioner EURO eller 4% af omsætningen og samtidigt med at Staten Danmark ikke har korrekte svar og vejledninger parat.

Disse vil dog komme om ca. 3 uger og vil angiveligt fylde mellem 800-1.000 sider efter de sidste efterretninger. Dette vil alene betyder ekstra omkostninger til jurister og konsulenter og endnu flere data officerer vil blive udpeget som skal indkøbe en compliance til denne lov.

For de fleste virksomheder kan dette ikke ske uden konsulenter og udpegede eller lejede dataofficerer samt jurister, hvorfor vi anser merprisen for danske virksomheder vil ligge i området 7,5 milliarder kroner. Dette er kun de initiale omkostninger.


[raw]
[jumbotron title=”Bøder fra Maj 2018″ text_align=”left” wpautop=”true”]
4% af omsætningen eller 20 millioner Euros er bøderne hvis du ikke er med fra start i Maj 2018.
[/jumbotron]
[/raw]


Viviane Reding der præsenterer reformen af EU lovgivningen.

Historie om GDPR / EU-forordningen

I 2016 blev de nye lovregler vedtaget for behandling af personoplysninger i form af EU-forordningen, General Data Protection Regulation. Reglerne træder i kraft den 25. maj 2018. De nye regler indebærer blandt andet:

  • En delvis harmonisering af reglerne såvel som fortolkning af reglerne på tværs af de europæiske lande
  • En fjernelse af den generelle anmeldelsesforpligtelse til Datatilsynet, når der skal behandles personoplysninger
  • Virksomhederne tilknyttes som udgangspunkt ét datatilsyn i Europa
  • Der er nye rettigheder for de registrerede, bl.a. i form af mere oplysning om behandling, ret til hjælp til at udfolde sine rettigheder, retten til dataportabilitet og retten til ikke at blive profileret.
  • Der er nye og skærpede forpligtelser for de dataansvarlige og databehandlerne, som bl.a. skal sikre at sikkerhed designes ind i it-systemerne, at behandlingerne dokumenteres, at databrud skal meddeles til datatilsynet, at konsekvenserne af behandling skal analyseres, og at der skal i en række tilfælde udpeges en databeskyttelsesansvarlig
  • Der er langt op til mere samarbejde mellem de europæiske datatilsyn
  • Der introduceres bøder af betydelig størrelse.

Vi har lavet et bibliotek med de værktøjer og information der skal til og vi forventer at side antallet vil ligge på ca. 3.000 ned checklister, anbefalinger, guides og specifikationer. Til vejledningen er der knyttet et bilag, som mapper forordningens krav til virksomhederne med kontrollerne fra ISO27002. På den måde får virksomheder, der i forvejen er bekendt med governance af informationssikkerhed, et godt bud på, hvordan de kan dokumentere deres efterlevelse af forordningen. Til vejledningen er ligeledes knyttet et bilag, som giver et første bud på hvilke teknologier, som kan understøtte data protection by design.

Disse guides og systemer kommer fra Advokatselskabet.dk, Datatilsynet, Justitsministeriet, Digitaliseringsstyrelsen og DI.DK.



At forberede sig på de uforberedte med GDPR med eller uden kryptering på LAN/SAN/WEB

Alene definitionen af hvad der er persondata, hvordan de skal behandles og hvordan de må deles står uklart, hvorfor det reelt ikke er muligt at forberede sig uden en mængde udefinerede faktorer. Vi taler om juridiske definitioner som ikke kan defineres entydigt med ord som hvornår noget er TILSTRÆKKELIGT;
  • transparent
  • nødvendigt
  • relevant
  • dataminimeret og
  • formålsspecifikt

Eftersom der er tale om nogle af de største bøder i en lovgivning fremadrettet, vil vi ønske os mere præcis vejledning.

Jeg mindes ingen lovgivning nogensinde har været så upræcis, så dårlig forvaltet og haft så lidt samfundsopmærksomhed som er tilfældet.

Det er jo statens pligt at oplyse virksomheder og privatpersoner på HVAD der er persondata, hvordan de præcist skal behandles, hvilket krav der stilles til behandlingen og hvordan privatdata skal kunne rettes f.eks. på en hjemmeside. At der ikke engang er et defineret krav om HTTPS altså mindst 256-512 Bit kryptering er os aldeles uforståeligt.

Som det forstås og forklares i dag, er der ingen krav til krypterede forbindelser, men det er sikkert, at det vil komme. Det giver nemlig ingen mening at beskytte forbrugere, på en ubeskyttet måde.

På Datatilsynet’s konference “Offentlig Digitalisering 2017” i Aarhus, var billedet præcist som vi beskriver herover.

“Det er møghamrende indviklede regler” siger Datatilsynet’s Kontorchef Lena Andersen

»Jeg kan ikke få det til at blive nemt. Det er møghamrende indviklede regler« siger Datatilsynet’s Kontorchef Lena Andersen på ovenstående konference. Det betyder at der imidlertid ikke er mange råd at hente fra tilsynet der skal føre tilsyn med at loven bliver overholdt.

Det er alene Datatilsynet der skal sikrer at loven overholdes og udstede bøder, men selve tilsynet er i den nye lov, lagt ud til virksomhederne, staten og den enkelte – form af at man skal kunne dokumentere, at ændringerne er indtruffet inden et års tid.

Der vil komme uvildige kontrolbesøg hos de største virksomheder, hvorefter man vil arbejde sig nedad, med et vist hensyn, via Folketinget, til offentlige virksomheder som skat, kommuner, styrelser og ministerier m.v. Et sådant hensyn er set før, hvor staten ikke selv går forest, men implementering af lovgivning som gælder for den øvrige befolkning.

Samtidigt er det uklart i hvilket omfang, at Datatilsynet kan, vil eller må kontrollere for overholdelsen af loven EU’s databeskyttelsesforordning.

Genbrug af data, Patientdata, forhandlerhenvisninger og dropshipping går en uvis skæbne i møde

På konferencen kom samarbejde og genbrug af data op, men der var INGEN svar på hvordan, hvornår og i hvilket omfang man må genanvende persondata.

Et særligt punkt det er: “Hvem og hvordan definerer man at man kun bruger nødvendige personoplysninger, når man udveksler data og hvor mange må man udveksle med” Lena Andersen siger imidlertid til Websitet Version2 og IDG »Man må gerne genbruge persondata men løsningen skal indrettes sådan, at databehandlingen dokumenteres og er transparent, at kun de nødvendige personoplysninger udveksles, og at de registrerede gives indflydelse hvor det er relevant,«Her kan vi pege på at flydende utilstrækkelig lovgivning, ikke vil forhindre misbrug og tillige ej heller vil sikre respekt om loven fra virksomhederne.

F.eks. hvornår er noget TILSTRÆKKELIGT transparent, nødvendigt, relevant, dataminimeret og formålsspecifikt. Man skulle tro det var teologer der havde lavet lovgivningen og ikke jurister. Der er for meget elastik og for lidt klarhed.Den offentlige forvaltning skal forvalte på usikkert grundlag og giver anledning til en forringet datasikkerhed. Banker og offentlige myndigheder skal kunne stille systemer til rådighed for at brugerne kan ændrer og/eller slette. Denne mulighed tror vi dog ikke praktisk kan ændre forvaltningen af disse data hvor der i gennem andre lovgivninger er krav der skal sikre at data netop gemmes.

Vil Databeskyttelsesforordningen give omkostninger for alle Internet udbydere, softwareudbydere, telebranchen?

JA. I dag vil Databeskyttelsesforordningen kræve omskrivning af manualer, samtykker, licens erklæringer m.v. både på skrift og i selve software. Det i sig selv er krævende hvis man har bare et produkt. Hertil kommer ændringer i selve software så den overholder loven. Databeskyttelsesforordningen er således en økonomisk byrde for de fleste virksomheder.

Kan man få bøde fordi man ikke udskifter den software man har nu?

JA. De ret omfattende krav er der ikke ret mange software producenter der udbyder software til installation på virksomhedens server eller via hosting med en rackserver, lejet servere eller Cloaud Computing lokalt via et Server Hosting Center.

Alle forskningsvirksomheder skal passe på, fordi FDA/EMA godkendelser hviler på forskning som er baseret på frivillighed og patientforeningssamarbejde som ikke er inkluderet i reglerne.

Det samme gælder omkring 17 andre brancher som er udpeget son særligt potentiale for hvor der kræves ekstra omkostninger udover det, som normale danske, EU og USA og resten af verden må betale for denne lovgivning i form af agil lovformelig compliance.

En af disse brancher er Life Science branchen som direkte og indirekte med økosamfund af arbejdskraft udgør 32,4 % af hele Danmarks skattebetalinger hvilket navnlig udgør NOVO NORDISK A/S med omkring 7 milliarder i statslige skatteindtægter.

Cloud Computing og Server Hosting Branchen eller virksomheder og foreninger med egne servere

Der vil formentligt inden længe komme krav til, at data er krypteret, men ikke alene til HTTPS som server certifikater, også som krav til kryptering af interne og eksterne protokoller herunder database udvekslingsformater.

Alt er jo i databaser i dag gemt i nogle SQL eller NOSQL formater og netop disse kan snakke sammen og migrerer sig automatisk og under givne omstændigheder er der krav for specielle data til, at disse opbevares i udland sammen med den unikke identifikation, som et navn eller email er jf. Persondataforordningen.

Dertil kommer at driften af redundante systemer også skal beskrives og sikres. Herunder er CACHE i sig selv et redundant system, det samme er udvidede cookie information samt enhver forbrugeranalyse, som de fleste systemer i verden allerede har bygget ind i sit websystem. Må man f.eks. tracke hvor kunden kommer fra og hvor han går hen efter besøget på dit website. Umiddelbart nej, idet der her er en tilknyttet profil der er en entydig identifikation, der husker dine besøg og din adfærd.

Et sådan system er f.eks. GMAIL og GOOGLE søgemaskinen. Så det er allerede nu sådan, at EU Databeskyttelsesforordningen bryder med flere IP rettigheder, patenter og software patenter. Ebay har f.eks. patent på 1klik handlemåden. Den kan ikke lade sig gøre uden unik ID af enhver person.

Fremtidens Email systemer og CMS systemer med Intranet, ERP systemer m.v.

Eftersom både email, erp og CRM systemer er en slags database med mange information fra mange identiteter (personer og virksomhed og offentlige myndigheder) kan vi forvente entydige krav om stærk kryptering idet disse indeholder strengt unødvendige information som f.eks. CPR, Adresse, Postnummer og historik som indkøb, adfærd, interesser og tilknytninger og meget andet. Eksempler herpå er alle skyprodukter men også lokale systemer til behandling og analyse af forbrugeradfærd vil i fremtiden få skærpede krav.

Man skal hele tiden tænke på, at EU Databeskyttelsesforordningen, er for samtlige virksomheder i hele verden, SÅFREMT de vil betjene Europæiske borgere. Så lovgivningen gælder også for Google, Microsoft, Apple, Samsung, Alibaba, Ebay og samtlige SAAS tjenester som f.eks. en e-mail service jo er.

Fremtidens SAAS, Foreningsdrift, Fordelsforeninger og Direct Mail systemer m.v. skal gøre sig reglerne helt klart

Vi forventer at der er klarhed også for forbrugerne om et år, om hvilken ret privatforbrugere har. Dette vil formentligt betyde flere sager om spam og krænkelser af privatlivet og bøder via f.eks.:

  • https://www.forbrugerombudsmanden.dk/Kontakt/Klag-over-spam

som vi forventer fortsat vil behandle sager om spam.

Er Cloud Computing en død fisk nu?

Cloud Computing er endnu ikke ligeså populært til WEB tjenester som egen server er. Det er på grund af hastigheden. En lokal server svarer f.eks. med 0,2 sek i et Hosting Center på Sjælland via eksterne offentlige hastighedsmålere. På de samme målesteder kan man se at svarene via Google, Microsoft, Ebay m.v. er helt oppe på over 10 sekunder. Og på store webhoteludbydere er hastigheden over 15 sekunder som f.eks. Bluehost.

Dette er næppe nogen fordel nogetsteds, og den væsentligste årsag til fravalg af Cloud Computing i udlandet. Dertil kommer at de Cloud Computing aktører som findes i Danmark, ikke har det nemt med salg.

Server Hosting Branchen har ganske vist tabt pusten siden 2011, men netop Databeskyttelsesforordningen vil give et nyt pust til Server Hosting Center branchen, fordi ingen IT Chef kan acceptere langsomme svartider på sin WEBSHOP eller WEBSIDE.

800-1000 sider forventes vejledningen af fylde, og den skal alle dataansvarlige og databehandlere overholde.

I Maj 2017 måned kommer svaret og vejledninger for EU Databeskyttelsesforordning, men den forventes at være noget af de sværest forståelige stof, fordi de rækker over flere lovgivninger, ret mange teknologier og formentligt derfor er på mere 800-1.000 sider.

Vejledningen er lavet af Justitsministeriet i samarbejdet med netop Datatilsynet og Digitaliseringsstyrelsen. Den er at finde her på vores website få dage efter med vore bud og anbefalinger.

Denne vejledning bør betragtes som endegyldig for, hvad virksomheder, staten og privatpersoner skal gøre med sine websider, databehandlingsprogrammer, sikkerhed, håndtering af privatlivsoplysninger, databaser, software og email servere m.v. med ikke begrænset hertil.

Vi kan anbefale at man hyrer en dataingeniør til udarbejdelsen af den krævede dokumentation. Denne kan så verificeres af f.eks. os eller andre der har denne lovgivning som et speciale.


Ring gerne 32177777 lokal 216 hvis du ønsker vores assistance så du hurtigt får den dokumentation til stede som loven kræver.

Det er nemlig bedst at lave dokumentationen så den opfylder loven først, og dernæst implementere det som er krævet af ændringer.


Her er et par grafer og fakta om Europa, som kan være relevant i ovenstående beslutninger: (KILDE: EUROPA.EU)

EU markedets som Europas ydre grænser udgør 743.1 million indbyggere. EU som pt med 28 medlemsstater udgør alene 508 million indbyggere jf. 2015 EU opgørelsen. Med verdens tredje største befolkning efter Kina og Indien er EU et større marked end USA og Japan opgjort udfra befolkning alene. På KM2 er Frankrig størst og Malta mindst.