8. maj 2018

Persondataforordning råd nr. 2

Persondataforordningen venter lige rundt om hjørnet. Men har din virksomhed styr på, hvordan I lever op til forordningen? Frem til den 25. maj hvor forordningen træder i kraft, kan du læse Redmarks anbefalinger og 5 gode råd. Vi er nået til det 2. gode råd fra Redmarks ekspert i persondataforordningen og det handler om systemer og sikkerhed.

Redmarks ekspert i persondataforordningen og statsautoriseret revisor, Mark Leerdrup, giver i en serie på fem gode råd hans bud på, hvordan mindre og mellemstore virksomheder kommer tættere på målet. Sidst fik vi styr på, hvilke persondata virksomheden har. Det næste gode råd er: Find ud af, hvilke systemer der håndterer jeres persondata og få sikkerheden op i et passende niveau.


1. Dataansvarlig eller -behandler?

”Til at starte med, er det godt at finde ud af, om I er dataansvarlig eller databehandler, eller begge dele. Man kan i store træk se det på den her måde: Hvis I modtager persondata direkte fra personen selv, vil I oftest være dataansvarlig. Men hvis I modtager oplysningerne fra andre end personen er I nok databehandler. Det siger næsten sig selv, at der er forskel på rolle og ansvar: som dataansvarlig er det jer der ”står på mål” overfor personen. I skal sikre den ansvarlige behandling af de oplysninger, som I har fået og bygge den sikre ”ring-mur” rundt om dem. Og sørge for, at andre behandler dem ligeså ordentligt, når I overlader oplysninger til dem”.

Databehandler-rollen er en anden, fordi man behandler specifikke data på en bestemt måde på vegne af den dataansvarlige, og databehandlerens arbejde og ansvar kan derfor lettere afgrænses.

”Lad os tage et eksempel: løn til jeres medarbejdere. I har modtaget medarbejdernes navn, adresse, CPR-nr., bankkonto osv. direkte fra personen og er dataansvarlig. I anvender et lønbureau, der skal afregne og indberette lønnen på jeres vegne. Derfor overlader I medarbejdernes persondata til lønbureauet, der jo så er databehandler for jer og I skal – som dataansvarlig  - sikre jer, at bureauet passer ligeså godt på data, som I selv gør. Dette sikres gennem en databehandleraftale, som vi kommer nærmere ind på nedenfor, men reglen er klar: anvender I databehandlere, skal I sikre at der er en aftale på plads”, siger Mark.

På personalesiden er virksomhederne dataansvarlige, men det kan være anderledes på kundesiden, særligt hvis databehandling er en del af jeres forretning, ligesom for lønbureauet. Dette giver nogle særlige udfordringer, men vi begrænser os her til at kigge på den dataansvarliges rolle nedenfor.

2. Hvilke systemer bruger I?

Det næste skridt er at klarlægge, hvor I har de data liggende, som I oplistede i Råd nr. 1. Det vil typisk være i mailboksen, på PC’en eller fællesdrevet, i bogføringen og fysiske mapper. Derved kan data både ligge lokalt og i en sky/hosting løsning.

”Du kan bruge bilag 2 (Kan downloades nederst i artiklen) til at opliste, hvilke af jeres systemer, der indeholder persondata. Det er selvfølgelig væsentligt, at der foretages back-up osv., men hvis jeg skal pege på det allervigtigste for persondata, så er det adgangkontrol, både fysisk og systemmæssigt, både internt og eksternt. Det er helt centralt, at ingen skal have adgang til persondata – hverken hos jer selv eller udefra – hvis ikke der er et relevant formål med det. Vi startede i Råd nr. 1 med at finde ud af, hvilke personer, der har adgang til data, og hvis ikke det er need-to-have, skal det ændres systemmæssigt”, mener Mark.

4. Lad os starte med et overblik over systemerne

”Som du ser i bilag 2 (Kan downloades nederst i artiklen) , starter vi med at finde ud af hvilke systemer, som I bruger til hvad. Det kan f.eks. være Outlook til mails/kalender osv., men der er også fysiske arkiver med papirer og print: det er også et system. I kan frit ændre i oversigten. Når det er gjort, skal I finde ud af, hvor data opbevares; er det på lokal pc-drev, server eller i en kombination. Måske er det i skyen/hosting og her skal lamperne blinke: der er behov for en databehandleraftale”, siger Mark.

5. Databehandleraftaler

”En hosting/sky-løsning må ikke svække jeres normale sikkerhed og det er i de tilfælde, at I skal lave eller indhente en databehandler-aftale fra den, der opbevarer data på jeres vegne. Denne aftale beskriver den sikkerhed, som hosting-virksomheden indestår for. Mange databehandlere har allerede lavet en databehandleraftale, som I skal indhente og checke om det svarer til jeres krav. Ellers skal I selv udarbejde en aftale og det er ikke den nemmeste opgave” fortæller Mark Leerdrup, Redmarks ekspert i persondataforordningen.

”Min erfaring er faktisk, at hosting-løsninger i praksis har en bedre sikkerhed end virksomhedens egne servere og backups. Et par eksempler herpå er, at f.eks. firewall/virus-beskyttelsen ofte er langt mere opdateret og professionel i hosting-miljøet, og det samme gælder regler for passwords, hvor det tit ses, at de sjældent fornyes på egne servere og nogle gange kender alle ansatte endda hinandens passwords. Det duer selvfølgelig ikke, når adgangen til persondata skal begrænses mest muligt og kun gives til dem, der har et reelt behov for det” siger Mark.

6. Adgangsbegrænsning

”Det med passwords bringer mig frem til, at I skal sikre, at det kun er de relevante medarbejdere, der har adgang til jeres persondata. I skal tænke over, hvad der giver god mening og sætte nogle begrænsninger derefter. Det er min erfaring, at virksomhederne allerede har tænkt over det udfra en rimelighedsbetragtning, f.eks. ser jeg meget sjældent, at løn-data bare ligger frit tilgængeligt på et fællesdrev. Men på den anden side ser jeg eksempler, hvor personalemapper står frit tilgængelige i bogholderiet. Vi skal ikke være hysteriske, men der skal altså være rimelig adgangskontrol til fysiske persondata, dvs. at de skal opbevares aflåst”.

7. Samlet vurdering af sikkerheden p.t.

Herefter kan der foretages en overordnet vurdering af sikkerheden i hvert system og ideer til, hvad der skal til for at forbedre sikkerheden til ”grøn”.

”Mange vil opleve, at systemerne lige nu vil være i rød eller gul status, hvis vi taler i trafik-lys. Der vil mangle noget; f.eks. i form af adgangsbegrænsning, en databehandler-aftale (hvis systemet er en hosting-løsning), manglende password-sikkerhed e.lign. og derfor er sikkerheden ikke tilstrækkelig. Fordelen ved, at I kigger ret grundigt på systemerne er, at når sikkerheden forbedres i et system, så forbedres sikkerheden for samtlige de persondata, der passerer eller opbevares i systemet.”, uddyber Mark.

”IT-systemer kan være en kompleks størrelse og måske kan alt ikke løses på den korte bane. Min anbefaling til en proces er (1) få løst de nemme ting først; dvs. få indhentet de nødvendige databehandler-aftaler og få ændret password-regler mv. og (2) få åbnet for nogle af de svære udfordringer, så I kommer i gang med dem. Det kan f.eks. være et forældet server-setup, der ikke lige kan løses med dags varsel, men som der skal arbejdes på at finde en løsning for.”

8. Nu er du igennem det 2. gode råd

Mark Leerdrup fortæller, at du nu burde have et nogenlunde overblik over jeres system-anvendelse, sikkerheden heri og hvad der skal til for at forbedre den.

”Det er dog meget vigtigt at understrege, at selvom du nu har et bedre overblik over virksomhedens systemer, så er der ingen garanti for, at sikkerheden bliver tilstrækkelig. Den vurdering kræver ofte en særlig IT-indsigt. Men du kommer et godt stykke af vejen med god struktur og sund fornuft, og mit allerbedste råd er, at du igennem hele forløbet overvejer om din egen indsigt er tilstrækkelig, lytter til din mavefornemmelse og kontakter din Redmark rådgiver, når du kommer i tvivl” afslutter Mark Leerdrup.

Næste gode råd vil handle om koblingen mellem systemsikkerheden og jeres persondata. Hvordan vurderer du, om niveauet er tilstrækkeligt? Vi kommer også ind på brugen af emails, PC’er og smartphones og tager også hul på en af de store persondata-fornyelser; sletning.  Dette er nogle af de spørgsmål, som Mark Leerdrup, Redmarks ekspert i persondata vil komme ind på i det 3. gode råd, der kommer snart.

Har I brug for personlig rådgivning om persondataforordningen? Redmark er altid klar til at hjælpe jer. På vores hjemmeside www.redmark.dk/Specialistomraader/Persondata kan I læse mere, om den rådgivning vi tilbyder og kontaktpersoner på vores kontorer i Aalborg, Aarhus og København. I er også velkommen til at kontakte Mark Leerdrup direkte på telefon 41 96 58 79 for en uforpligtende snak, om, hvordan Redmark kan hjælpe jer.

DOWNLOAD BILAG 2 HER>>

Tak for din tilmelding

Du er nu tilmeldt vores nyhedsbrev, og du vil løbende modtage relevante nyheder om regnskab,revision, skat, moms, afgifter og økonomi generelt. Herudover vil du modtage løbende nyheder om Redmark.

Læs mere om Redmark på vores hjemmeside, og husk på, at du altid er velkommen til at kontakte os.

icon-close