Hvad siger databeskyttelsesforordningen (Eng: General Data Protection Regulation”   GDPR - http://www.eugdpr.org/)

Den fælles Europæiske forordning effektueres i maj 2018 og den danske udgave af denne forordning, som skal erstatte persondataloven, forventes vedtaget i folketinget ved årsskiftet 17/18.

Forordningen/loven skal tvinge offentlige myndigheder og private virksomheder til at sikre personfølsomme Oplysninger, så de behandles transparent og sikres mod misbrug.

Databeskyttelsesforordningens artikel 32 om ”Behandlingssikkerhed” omhandler hvad organisationen skal gøre for at der ikke forekommer en Sikkerhedsbrist – Def: Art.4(12) - og sker det alligevel, så handler ”Notifikationspligten” i artikel 33-34 bl.a. om, hvordan og hvornår myndigheder og datasubjekter skal underrettes.

Konsekvensen for manglende efterlevelse af forordningen udmøntes i en bøderamme på op til 150 millioner kroner.

Hvad det er, man skal gøre for at undgå en sikkerhedsbrist, beskrives desværre ikke i klar forståelig tekst og derfor står mange organisationer tilbage med spørgsmålet: Hvad skal vi gøre i praksis? 

Uddrag af artikel 32 ”Behandlingssikkerhed” i Databeskyttelsesforordningen:

Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

a) pseudonymisering og kryptering af personoplysninger

b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og –tjenester

c) evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske
foranstaltninger til sikring af behandlingssikkerhed

Læs mere her:

ISO 27001 og Persondataforordningen

Tema: Persondataforordning