DET MENER VI

Persondataforordningen udfordrer det offentlige

INTRODUKTION

EU’s kommende persondataforordning stiller ikke blot nye administrative krav. Forordningens mål er, at gøre behandlingen af personfølsomme data til en primær opgave, der tænkes ind i alle led af organisationen. Resultatet og ”guleroden” er en fælles EU-ramme for persondatasikkerhed og bedre muligheder for at høste fordelene ved Cloud Computing. Pisken er store bøder og risiko for tunge søgsmål.

EU-kommissionen har med Persondataforordningen sendt et tydeligt signal til medlemslandenes virksomheder og offentlige organisationer: Få styr på jeres behandling af følsomme persondata, eller vi kommer efter jer. Forordningen følges nemlig af en række restriktioner, der sætter alvor bag de gode hensigter.

Bødeniveauet for overtrædelser i Danmark af de nuværende regelsæt for håndtering af personfølsomme data ligger på 3.000-10.000 kr. med en enkelt historisk høj bøde på 25.000 kr. Med den nye Persondataforordning vil der i værste fald kunne udskrives bøder på op til 20 mio. euro eller fire procent af den samlede koncernomsætning i den pågældende virksomhed. Det diskuteres i øjeblikket politisk, i hvor høj grad dette også skal gælde for offentlige organisationer. - Men det er sikkert, at der vil være markante konsekvenser for alle organisationer, også offentlige, hvis de ikke følger Persondataforordningens regler, når de træder i kraft til maj 2018. – Blandt andet i form af flere private søgsmål fra borgere og virksomheder ved datalæk.

LÆS VORES ANDRE ARTIKLER OM PERSONDATAFORANDRINGEN I OFFENTLIG SECTOR

EN LEDELSESMÆSSIG OPGAVE

Accenture vurderer, at Persondataforordningen stiller stort set alle offentlige organisationer over for en stor udfordring. Både på tværs af organisationen og i forhold til IT-området kræver forordningen betydelige tilpasninger. Et af de håndfaste krav er, at der overfor Datatilsynet skal udpeges en Data Protection Officer (DPO). Denne person får ansvaret for, at behandling af personoplysninger foregår i overensstemmelse med Persondataforordningens bestemmelser. Det bliver også DPO’ens ansvar at sikre, at alle procedurer og politikker implementeres og overholdes, samt at indberette brud på datasikkerheden til berørte borgere/virksomheder og Datatilsynet senest 72 timer efter det er sket. Dertil kommer, at den dataansvarlige er ansvarlig for, at organisationen til hver en tid skal kunne dokumentere, at forordningen bestemmelser og krav til datahåndtering bliver overholdt.

COMPLIANCE GÆLDER BÅDE JURA, IT OG LEDELSE

Selvom DPO’en får en helt central rolle i forhold til at sikre, at persondataforordningen er overholdt, bliver konsekvensen, at alle, der i organisationen arbejder med persondata, bliver berørt af de nye krav. Derfor er der ikke blot tale om en IT-tilpasningsøvelse, men om en ledelsesmæssig og organisatorisk opgave, der omfatter hele virksomheden.

Det kræver en overordnet struktur, som Accenture foreslår løses i fire led:

  1. Undersøgelse af situationen i dag: I hvilket omfang er der compliance mellem forordning og alle organisationens processer, it systemer og omgangen med personfølsomme data.

  2. Planlægning af nødvendigt compliance-projekt.

  3. Implementering og eventuel prioritering af forandringer i organisationens processer og IT for at skabe en sikkerhed om persondata, der er compliant i forhold til Persondataforordningen.

  4. Sikring af compliance fremadrettet i form af procedurer og politikker, og evt. også inddragelse af ny teknologi som eksempelvis cloud computing, hvilket forordningen åbner nogle interessante muligheder for.

For at sikre, at alle juridiske aspekter er behandlet korrekt i compliance-planen, har Accenture indgået et unikt partnerskab med Kammeradvokaten. Det sikrer, at compliance-projektet hverken over- eller underimplementerer forordningen men effektivt holder sig til de nødvendige tilpasninger. Accenture har betydelig erfaring med compliance-projekter indenfor persondataforordningen for udenlandske organisationer og besidder de nødvendige kompetencer til at kunne gennemføre de nødvendige analyser, så compliance også sikres i fremtiden.




Persondataforordningen indebærer en risiko for bøder og søgsmål mod det offentlige, men en måske endnu større risiko er det tillidsbrud mellem borger og det offentlige, som et datalæk kan medføre. Det kan skade hele omstillingen i mod en mere digital offentlig sektor.
Christian Max Hansen
Managing Director, Offentlig Sektor og Sundhed

FAKTA

7 af 10

7 ud af 10 organisationer oplever at dobbelt så mange sikkerheds- og persondatabrud sammenlignet med for to år siden. (Accenture undersøgelse)


1 mia.

1 mia. personrelaterede data, herunder patientjournaler, blev lækket i 2015. (Accenture undersøgelse)