Den første ting du bør notere omkring persondataforordningen er at den vil være i fuld effekt fra d. 28 maj 2018. Finansielle institutioner bør også indtænke MiFID II (EU-direktiv for finansielle institutioner) ved implementeringen, som vil være i effekt fra d. 3 januar 2018.
Har persondataforordningen noget med dig at gøre?
Det er ret sandsynligt: hvis du på nogen måde håndterer informationer relateret til EU borgere, så gælder persondataforordningen også for din virksomhed. Dette dækker iøvrigt også ting, som medarbejder data. Så i det tilfælde at du er en enmands virksomhed, som ikke har nogen medarbejdere, kun handler business to business og iøvrigt ikke registrerer nogen information om EU borgere, så er du undtaget. Ellers ikke.
Man bør her være opmærksom på at persondataforordning udvider definitionen af personlig data til også at inkludere ting, som genetiske, psykiske, kulturelle, økonomiske eller sociale oplysninger. Eksempelvis vil det at notere at direktøren for en af dine kunder er vegetar i jeres CRM gøre at persondataforordningen's regler gælder for jeres CRM data.
Samtykke erklæringer og det at blive glemt
Persondataforordningen introducerer data håndterings principper, som populært kaldes "retten til at blive glemt", for en virksomhed betyder det at man skal sikre at der kun gemmes data så længe det er nødvendigt, og at disse data kun bruges til det formål det oprindeligt blev indsamlet til, medmindre et nyt samtykke gives. Og til sidst at data skal slettes i tilfælde af at borgeren, som dataene omhandler, anmoder om dette.
Et godt spørgsmål at stille sig selv her er om i internt i virksomheden har en process for håndtering af samtykke og samtykke erklæringer, og styring af jeres håndtering af persondata.
Hvor langt man er nødt til at gå i forhold til håndtering af, og sletning af data er ikke kendt i skrivende stund, men det er oplagt at der skal findes en håndtering for et scenarie hvor data slettes pr. en request, og virksomheden, som konsekvens af et nedbrud eller lign. skal gendanne data fra en backup, og de data, som blev slettet med vilje, nu bliver genskabt. Dette er ikke noget der idag findes en god løsning på.
Apropos backup er det her vigtigt at i sikrer at jeres backup data bliver krypteret både under overførsel og når det hviler på disk/bånd mv.
Som en sidste krølle, skal alle virksomheder også fremadrettet rapporterer om data brud højst 72 timer efter at disse bliver opdaget. Der forudsættes her et fornuftigt niveau af overvågning, logging og auditering.
