Alexandra Instituttet A/S // Aktuelt // Nyheder // Nyheder 2017 // Få hjælp til de kommende regler for databeskyttelse

Få hjælp til de kommende regler for databeskyttelse

Artikel

29-06-2017

Få hjælp til de kommende regler for databeskyttelse

I en ny betænkning om EU's kommende databeskyttelsesforordning beskriver Justitsministeriet, hvordan de nye regler skal forstås i Danmark, og hvilken betydning de har for den nuværende lovgivning. Vores chef for Security Lab, Gert Læssøe Mikkelsen, har givet Justitsministeriet input til de tekniske problemstillinger, og hans team står klar til at vejlede danske virksomheder om it-sikkerhed anno 2017.

Justitsministeriet har netop udgivet betænkningen Databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning, der analyserer forordningens krav og beskriver dens retlige rammer for dansk lovgivning til den nye version af persondataloven og vejledninger. 

Vores it-sikkerheds-labchef, Gert Læssøe Mikkelsen, har som eneste tekniske specialist siddet med i Justitsministeriets ekspertreferencegruppe. Han har derfor fået en masse indsigt i forordningen og dens konsekvenser for danske virksomheder fra maj 2018, hvor den træder i kraft. 

Vi har her samlet nogle af de områder, der bliver aktuelle, og som vi står klar til at hjælpe jer med.

 Få overblikket 

Hvilke data behandler I, og hvor følsomme er de? Det er et rigtigt godt sted at starte – og for nogle virksomheder et krav. Det kan vi hjælpe jer med. 

 Konsekvensanalyse

Privacy Impact Assessment (PIA) også kaldet Data Protection Impact Assessment (DPIA) er en konsekvensanalyse, der skal foretages, før man begynder at behandle persondata. Dette er et krav i forordningen, og vi kan hjælpe jer med analysen. Analysen ser på, hvilke risici der er ved en løsning, hvis der sker et brud på sikkerheden. Eksempelvis hvis helbredsdata lækkes. Vi finder ud af, hvor kritiske data ligger i systemet, og vi øger sikkerheden dér. På den måde kan I identificere, hvor I skal fokusere. Samtidig kender I risikoen for kunden ved at bruge løsningen. Vi udarbejder Privacy Impact Assessment ud fra en ISO-standard, der er på vej.
Vejledning udgives af Justitsministeriet til december.

 Databeskyttelse gennem design 

Forordningen stiller krav om, at sikkerhed mod datalæk skal tænkes ind i løsningen fra starten og på en sådan måde, at risikoen for læk af data minimeres. Dette koncept kaldes Privacy by Design. Vi har arbejdet med dette koncept længe før det kom med i lovgivningen, og vi kan rådgive jer om, hvordan I kan gribe det an og hjælper også gerne med at udvikle jeres løsninger.
Vejledning udgives af Justitsministeriet til december.

 Samtykke  

De nuværende regler er ændret en smule, og samtykke har været diskuteret en del som én måde at arbejde med persondata. Vi ved, hvad samtykke skal indeholde, og hvordan den slags forstås af brugerne, så de har forstået, hvad de giver samtykke til og følger sig trygge ved det, I spørger dem om. I skal også være klar over, hvor meget I skal indhente samtykke til.
Vejledning udgives af Justitsministeriet til oktober.

 Behandlingssikkerhed 

Behandlingssikkerhed handler blandt andet om, at jeres tekniske systemer skal have et vist niveau af sikkerhed. I jeres specialdesignede systemer kan vi tjekke, om systemet er i orden. Vi tjekker, om jeres kode og arkitektur lever op til det forventede sikkerhedsniveau. Vi kan også foretage et sikkerhedsreview, så I kan få verificeret, at jeres egen løsning er lavet på en sikkerhedsmæssig forsvarlig måde. 
Vejledning udgives af Justitsministeriet til december.

 Cloud computing

Den nuværende persondatalov er fra år 2000 – længe før cloud blev kendt, som det er i dag. Der bliver derfor ændret ved den del. Vælger du at bruge en standardløsning, skal du sørge for, at din leverandør lever op til kravene. Leverer i selv en cloud-applikation, som eksempelvis et HR-system, skal I sørge for, at både leverandører lever op til kravene, og at jeres egen applikation er sikker. Få foretaget et sikkerhedsreview hos os.
Vejledning udgives af Justitsministeriet til december.

 Anonymisering og pseudonymisering 

Anonymisering er en måde at komme uden om forordningen på. Hvis data er ordentligt anonymiserede, er det ikke længere persondata. Det er dog svært at anonymisere data, så de ikke kan deanonymiseres igen, og kan de det, gælder forordningen stadigvæk. 

Pseudonymisering er en måde at sikre data bedre som en del at databeskyttelse gennem design, men det er også nævnt mange andre steder i forordningen. Vi arbejder med både anonymisering og pseudonymisering, blandt andet i internationale projekter med Philips og IBM. 
Vejledning udgives af Justitsministeriet til januar 2018.


Mere information

Justitsministeriet vil i løbet af efteråret udsende en række vejledninger til forståelse af forordningen. Se hele planen her.

12 spørgsmål du skal kunne svare på ifølge Datatilsynet

Læs Justitsministeriets pressemeddelelse om forordningen og download betænkningen
 

Skal digitalisering også styrke din forretning?
Kontakt os for en uforpligtende snak.
Kontakt
Head of Security Lab, PhD
+45 24 26 99 11
Profilbillede af Gert Læssøe Mikkelsen Se profil
.