Få styr på den nye EU-lov om håndtering af persondata

03. april 2017

Få styr på den nye EU-lov om håndtering af persondata

Den nye persondataforordning opstiller skærpede krav til behandling og beskyttelse af persondata. Med afsæt i standarder er man godt klædt på til at håndtere de nye krav.

Den 25. maj 2016 blev den nye persondataforordning fra EU vedtaget. Den træder i kraft to år efter til maj 2018 og vil indgå i EU-landenes egne lovgivninger på området, dog med plads til national supplerende lovgivning på en række områder. De nye EU-krav overlapper på en lang række områder med kravene i standarden ISO/IEC 27001 for informationssikkerhed.

- ISO 27001 hjælper virksomheder til at etablere et ledelsessystem til beskyttelse af følsom og kritisk information. Standarden opstiller blandt andet krav til et formaliseret arbejde med risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed. Det er krav, som er meget lig forpligtelserne efter EU-persondataforordningen, siger Anders Linde, chefkonsulent i Dansk Standard.

Standarder er en hjælp på vejen

Den nye persondataforordning er således, ifølge Anders Linde, en god anledning til at implementere ISO/IEC 27001. Standarden opstiller krav til etablering, implementering, vedligeholdelse og løbende forbedring af et ledelsessystem for informationssikkerhed. Den er derfor en god hjælp til at håndtere kravene i EU-persondataforordningen – og samtidigt et værktøj til at styrke forretningen.

- Det er afgørende, at man som virksomhed forstår, hvor bredspektret ens indsats skal være, både i forhold til at forhindre sikkerhedsbrud ved hjælp af tekniske tiltag og adfærdsændringer, men også i forhold til hurtigt at kunne genoprette forretningskritiske processer, når uheldet er ude. Og det hjælper ISO 27001 med, understreger Anders Linde.

En anden standard, det er værd at sætte sig ind i forbindelse med den nye lovgivning, er den nye privacy-standard ISO/IEC 29134.

- Standarden ISO/IEC 29134 er en vejledning til Privacy Impact Assesments og rammer derfor hovedet på sømmet, når vi ser på forordningens ordlyd. Den hjælper en med at vurdere og håndtere de potentielle privacy-indvirkninger af fx en proces, et informationssystem, et program eller en anden enhed, som behandler personidentificerbare informationer.

Anders Linde
Chefkonsulent
Dansk Standard

Risiko for bødestraf

Den nye EU-persondataforordning har – ud over harmonisering inden for EU –  til formål at styrke de registreredes rettigheder og kræver bl.a., at persondata skal distribueres i sikre kanaler. Dette gælder alle oplysninger, som kan bruges til at identificere enkeltpersoner – lige fra en persons fulde navn og CPR-nummer til fx helbreds- eller kreditoplysninger.

Og der er god grund til, at man som virksomhed eller organisation tager datasikkerheden alvorligt. Ud over de omkostninger, som et databrud kan medføre, er der også en bøderamme for brud på loven på helt op til 4 % af en virksomheds globale omsætning.

Få overblikket

Vi tilbyder kurser i informationssikkerhed og klæder dig på til den nye persondataforordning.

Kurser i informationssikkerhed | oversigt

 

Kontakt