Blog. Ved forberedelserne til den kommende EU Persondataforordning, GDPR, er det vigtigt for virksomhederne at forstå, at der er en afgørende forskel mellem databeskyttelse/datasikkerhed og databeskyttelse/informationssikkerhed.
Især IT professionelle ser ud til at tro at kryptering, firewalls, ISO standarder etc. er de eneste redskaber, der er relevante i forhold til databeskyttelse. På den anden side ser professionelle inden for jura ud til at tro, at databeskyttelse kun er om juridisk lovlig behandling af data.
Privatliv handler dog først og fremmest om respekten for den enkelte. Det handler om en grundlæggende menneskerettighed til at beskytte den enkelte. For en gangs skyld handler det ikke om forretningsmæssige risici, men om risici for den enkelte. Det handler om tilliden mellem virksomheder og deres kunder (incl. B2) og deres forbrugere.
Det handler om at dokumentere, hvordan du som virksomhed kan påvise, at du er berettiget til denne tillid; hvordan virksomheden opfylder sin del af et forhold bygget på tillid. Når virksomheden har dokumenteret dette er man selvfølgelig også nødt til at sikre, at man har de relevante beskyttende mekanismer, processer og kontroller til at beskytte denne tillid. Udover sikkerhedskontrollen kræver dette eksempelvis både kontrol af hvem der har adgang til hvilke stykker data og hvornår, men også at det specifikke stykke data kun må anvendes til bestemte formål.
I lyset af den kommende nye persondataforordning er forberedelse afgørende. Indførelsen af den mest omfattende lovgivning om databeskyttelse i verden og de tårnhøje juridiske forpligtelser, vil pålægge virksomhederne en forpligtelse til at handle. Dette kombineret med den øgede opmærksomhed fra forbrugerne vedrørende beskyttelse af personoplysninger vil udfordre virksomhederne. Hver eneste af dem. Virksomheder, der har forberedt sig på det, der kaldes en af de største compliance udfordringer gennem mange årtier, vil ikke blive overrumplet. Når de bliver spurgt om business casen omkring at bruge ressourcer og penge på hvad der kan synes som at spise en kæmpe elefant, vil virksomheder der har forberedt sig, finde sig selv med en ny konkurrencefordel, når deres konkurrenter vakler. Nye virksomheder vil dukke op for at hjælpe virksomheder med at opfylde de lovmæssige krav. Der kommer til at ske en masse innovation og udvikling på området.
Tillid handler også om ambitioner. En virksomhed kan beslutte, at overholdelsen af lovgivningen er på et tilstrækkeligt højt niveau, når forskellige parametre er inkluderet; relevante risici for den specifikke sektor, branche mv., hvilke datakategorier, der behandles, karakteren af de registrerede personer etc. Dette kan kræve et øget niveau af ambitioner. Og denne beslutning vil være det første skridt i retning af ægte databeskyttelse og ikke (kun) datasikkerhed.
Nyt lovforslag i Polen
Selvom EU’s persondataforordning, GDPR, er et redskab til brug for ensartet regulering og håndhævelse i alle EU lande, kan flere af forordningens artikler fraviges i national lovgivning, kollektive overenskomster og Code of Conducts.
Til dato er det kun Tyskland der har indført en sådan supplerende og specifik lovgivning. Det polske ministerium for Digitale Anliggender har netop offentliggjort et udkast til ny polsk persondatalovgivning, der vil ledsage indførelsen af GDPR i Polen. Et af de primære fokus er at give nye beføjelser til det polske Datatilsyn, herunder udførelsen af dawn raids-lignende aktioner uden varsel. Det skal bemærkes, at det er et udkast, og at det polske ministerium for Digitale Anliggender kan ændre udkastet før endelig fremsættelse, og lovgivningen vil naturligvis være underlagt sædvanlig vedtagelsesproces. Professionelle inden for persondataret i Danmark venter stadig på den tilsyneladende omfattende og dybdegående analyse fra det danske Justitsministerium, som oprindeligt skulle have været udstedt i Q1 / 2017, og som er oplyst at skulle indeholde de(t) danske forslag om fremtidig persondataretlig regulering inden for alle sektorer og brancher.