Få styr på persondata

I denne digitale tid, og med indførelsen af GDPR, er der kommet ekstra stort fokus på persondata og virksomheders håndtering af disse. Persondata afgives hele tiden af borgere - både til virksomheder og myndigheder - og organisationer, der ikke har styr på håndtering af persondata, kan risikere store bøder.

Derfor går vi her i dybden med dette vigtige emne, så I som virksomhed kan få styr på jeres håndtering af personoplysninger. Vi kommer ind på:

  • Hvad er persondata?
  • Persondataloven eller Databeskyttelsesloven?
  • Persondata i et virksomhedsperspektiv
  • Hvornår foretager virksomheder behandling af personoplysninger?
  • Hvem ejer data?
  • Sikker håndtering af persondata
personal data image 1

Hvad er persondata?

For at forstå hvad persondata er, starter vi med en definition. Her er det EU’s definition fra Databeskyttelsesforordningen der gælder. Personoplysninger defineres her som:

personal data fingerprint icon

“Enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.”

- EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016

Med andre ord så er persondata al information, der kan identificere en given person. Ifølge denne definition kan persondata være mange ting, blandt andet:

personal data name

Et navn

personal data foto

Et billede

personal data email

E-mail-adresse

personal data etnicity

Oplysninger om en persons etnicitet

personal data sound

En lydfil

personal data criminal record

Straffeattest

personal data CPR-number

CPR-nummer

Listen over persondata er altså potentielt uudtømmelig.

Man skelner dog mellem forskellige typer af persondata, hvoraf de forskellige typer skal håndteres under mere eller mindre strenge betingelser:

personal data normal

Almindelige personoplysninger

Disse omfatter persondata som eksempelvis navn, e-mail, adresse, ansættelsessted m.m. Her er der tale om rent faktuelle oplysninger og oplysninger, der ofte er nemt tilgængelige.

personal data sensitive

Følsomme personoplysninger

Eksempelvis sundhedsdata, etnicitet og seksuel præference. Denne type data er meget personlige og skal derfor håndteres ekstra varsomt.

personal data special

Specielle persondata

Oplysninger såsom CPR-nummer og strafbare forhold indgår ikke i de to øvrige kategorier. Hvor reglerne om både almindelige og følsomme personoplysninger specifikt behandles i den internationale forordning, har man i Danmark selv fastsat betingelserne for behandling af specielle persondata i Databeskyttelsesloven. CPR-nummer anses som en fortrolig oplysning, som er særskilt reguleret. Oplysninger om strafbare forhold anses som udgangspunkt i forordningen som almindelige personoplysninger, men er i Danmarks databeskyttelseslov særskilt reguleret på samme måde som CPR-numre.

Persondataloven eller Databeskyttelsesloven?

Kært barn har mange navne. Databeskyttelsesforordningen, Persondataforordningen og GDPR er alle udtryk for den samme lovgivning, som oprindeligt blev udstedt af EU, og som blev implementeret i 2018.

Forordningens officielle navn er:

personal data law

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF

Databeskyttelsesforordningen er i daglig tale også kendt som Persondataforordningen eller GDPR, som er den internationale forkortelse for forordningen (General Data Protection Regulation).

I Danmark blev forordningen implementeret som en del af Databeskyttelsesloven, som blev vedtaget i foråret 2018. I denne forbindelse blev Persondataloven erstattet.

Mange tror stadig, at Persondataloven stadig gør sig gældende, men det er altså ikke korrekt.

Læs mere om Databeskyttelsesforordningen.

Persondata i et virksomhedsperspektiv

Persondata er den ultimativt vigtigste værdi, som virksomheder indsamler og behandler. Uden denne type af data er det ikke muligt at drive forretning i en verden, der i høj grad er digitaliseret.

På forbrugssiden kan personer ikke udnytte de digitale muligheder, der i dag er mulige såsom at oprette en bankkonto, få leveret en vare eller på anden måde købe vitale digitale ydelser uden afgivelse af en form for persondata. Der er selvfølgelig visse udbydere af services og produkter, som ikke har behov for persondata - eksempelvis når vi køber en hotdog hos pølsemanden og betaler kontant.

Med undtagelse af eksempler som ovenstående forudsætter langt den meste interaktion mellem individer og virksomheder en form for udveksling og behandling af persondata. Den stadigt stigende grad af digitalisering i samfundet og brugen af personificeret data giver samtidig mulighed for at levere en bedre og mere målrettet service. Derfor kan det både fra forbrugers og udbyders side opleves som nødvendigt og essentielt at udveksle persondata.

Reglerne for virksomheders behandling af personoplysninger er dog omfattende og dækker blandt andet også over opbevaring af persondata.

Læs mere om reglerne.

Hvornår foretager virksomheder behandling af personoplysninger?

Lovgivningen om databeskyttelse er gældende, så snart virksomheder “behandler” personoplysninger, men som tidligere nævnt kan behandling af personoplysninger have mange former. Netop fordi begrebet er så bredt, vil virksomheder som regel anses for at udføre en behandling, så snart de er i kontakt med personoplysninger.

Ifølge Persondataforordningen kan en “behandling” omfatte alle former for håndtering af personoplysninger. Dette indbefatter indsamling, registrering, organisering, systematisering, opbevaring, ændring, søgning, brug, videregivelse, formidling, sletning - og meget mere.

personal data law

Verificering af oplysninger

Et konkret eksempel kunne være, når virksomheder har brug for at verificere, om et oplyst navn rent faktisk tilhører en given person. Virksomheden trækker verificeringsdata fra det netværk, som personen færdes i eller fra øvrige datakilder, som har en autoritet, der kan godtgøre ægtheden af disse oplysninger. Dette er især relevant for virksomheder, der er underlagt hvidvaskloven.

Hvis bare én form for håndtering af personoplysninger finder sted, er der tale om en behandling, som er omfattet af lovgivningen. For at være på den sikre side kan virksomheder derfor gå ud fra, at de er omfattet af databeskyttelsesreglerne, så snart de er i forbindelse med personoplysninger.

Læs mere om databehandling.

Hvem ejer data?

GDPR markerede et grundlæggende skifte i synet på dataejerskab. Førhen var lovgivningen uklar vedrørende hvem, der egentligt havde ejerskabet over data efter, at denne er blevet udvekslet mellem to parter. Forbrugernes rettigheder samt ret til indsigt i de data, som virksomheder opbevarer, var uklar. GDPR klargjorde principperne for dette. Det blev slået fast, at data tilhører den person, som dataen repræsenterer. Virksomheder kan behandle og bruge data, men ejerskabet og rettighederne vil altid tilfalde den registrerede part.

quote line

Det blev slået fast, at data tilhører den person, som dataen repræsenterer.

Privatpersoners rettigheder

Hvilke rettigheder har privatpersoner i forhold til deres persondata?

Skiftet i den nye persondataforordning - som gjorde, at man skiftede syn på ejerskab over data - medførte, at man som person fik indsigtsret i, hvilke data virksomheder opbevarer om en. En rettighed som det selvfølgelig også er vigtigt for virksomhederne at sætte sig ind i, da de har en stor rolle i forhold til at efterleve kravene.

Med undtagelse af nogle få tilfælde, har man som privatpersoner altså ret til at henvende sig til virksomheder, som man tror behandler eller opbevarer ens persondata og få indsigt i, hvilke data de behandler, hvad deres begrundelse er for at behandle ens persondata, og hvornår et samtykke til en sådan behandling er blevet givet.

Læs mere om privatpersoners ret til indsigt.

Dette ændrede syn på ejerskab over data leder os blandt andet til 6 principper for, hvordan man som virksomhed bør gribe persondata an. Læs mere om disse nedenfor.

Sikker håndtering af persondata

Grundlæggende siger loven, at virksomheder skal beskytte både interne (eksempelvis medarbejdere) og eksterne (kunder, samarbejdspartnere m.m.) personoplysninger med “tilstrækkelige sikkerhedsforanstaltninger”.

Det er op til den enkelte virksomhed at vurdere, hvilke sikkerhedsforanstaltninger der skal gøre sig gældende.

Der er to typer af sikkerhedsforanstaltninger, som virksomhederne skal sikre.

Teknisk sikkerhed

Organisatorisk sikkerhed

Blandt andet stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk it-infrastruktur.

Blandt andet beskrevne procedurer angående hvilke medarbejdere der må tilgå hvilke persondata, adgangstilladelser, sikkerhedskurser og uddannelse af medarbejdere.

Hvis man behandler følsomme personoplysninger, så skal ovenstående i endnu højere grad prioriteres og skærpes. Valg og fravalg af eventuelle foranstaltninger og baggrund herfor er elementer i risikovurderingen, som er en del af Persondataforordningens risikobaserede tilgang til databeskyttelse.

Læs meget mere om datasikkerhed.

Sådan kommer I i gang med persondata (De 6 principper)

Er I interesserede i de bagvedliggende principper for GDPR, kan I nærlæse artikel 5 i Databeskyttelsesforordningen.

Her nævnes 6 principper for, hvordan man bør gribe persondata an. Her gennemgår vi dem kort én for én:

1. Gennemsigtig, rimelig og lovlig

Din virksomhed skal levere gennemsigtig information til kunderne om, hvordan I behandler persondata. Sproget i eksempelvis mails skal være letforståeligt, og kunderne skal vide, hvad der sker og hvorfor. Undgå det svære og tekniske sprog og sæt tid af til at udvikle gode, forståelige templates, I kan bruge fremover.

Enhver behandling af persondata skal være rimelig, sikker og tage udgangspunkt i ‘best practice’ (eksempelvis ved at bruge de bedste teknologiske muligheder).

Og sidst men ikke mindst skal jeres behandling af persondata være lovlig. I skal have hjemmel i lovgivningen til at behandle persondata. Det gør I eksempelvis ved at indhente et samtykke hos kunden.

2. Formålsbegrænsning

I må kun indsamle persondata til specifikke formål. Og det er vigtigt, at I informerer jeres kunder om, at I gør det. Det indebærer også, at I kun må bruge persondata i de sammenhænge, som kunden har givet samtykke til.

3. Dataminimering

Her er ‘need to have’ meget centralt. Grundlæggende skal I nemlig kun indsamle præcis de persondata, der er nødvendige for, at I kan gennemføre formålet med at behandle persondata om kunden.

4. Rigtighed

I skal løbende sikre, at de personoplysninger, I behandler, er rigtige. Derfor skal data løbende ajourføres. Og derudover skal I løbende rette eller slette data, der er ukorrekte i forhold til det specifikke formål, den skal bruges til.

5. Opbevaringsbegrænsning

I skal kun opbevare personoplysninger, så længe det er nødvendigt. Derfor bør I løbende spørge jer selv: Har vi stadig et formål med at gemme disse data? Her kan det være en god idé at have det som en halvårlig eller årlig begivenhed at gennemgå den data, man opbevarer.

6. Integritet, fortrolighed og sikkerhed

Dataens integritet skal være i orden. Det vil sige, at I skal sikre datas korrekthed og troværdighed over tid.

Samtidig skal I sikre, at data behandles med stor fortrolighed. Alle og enhver skal ikke have adgang til data. Det gælder både personer udefra (eksempelvis hackere) og indefra (eksempelvis kollegaer).

For at sikre de to punkter skal I have en tilstrækkelig sikkerhed. Det niveau af sikkerhed vil variere fra virksomhed til virksomhed. Som tidligere nævnt er både teknisk og organisatorisk sikkerhed vigtige dimensioner.

Hvis I har styr på de 6 principper, er I kommet et langt stykke i forhold til jeres håndtering af persondata. Og det kan i den grad betale sig at have styr på reglerne. Viser det sig, at I som virksomhed ikke overholder reglerne, kan det resultere i en bøde.

Få overblik over de bøder, der er givet i både Danmark og andre EU-lande.

NewBanking - Håndtering af persondata gjort nemt og sikkert

Hvis du har læst hertil og har mistet pusten over udfordringen med GDPR og persondata, så er du ikke alene. Der er findes dog gode løsninger på virksomheders udfordringer ved håndtering af persondata.

NewBanking Identity er en dansk software platform, der siden 2015 har gjort det muligt for virksomheder og personer at udveksle oplysninger på en transparent og sikker måde.

For virksomheder er der flere fordele ved platformen NewBanking Identity:

Widget icon

Onboarding

Onboard dine kunder digitalt på en sikker kanal.

ID scan icon

Validering

Opstil jeres egne krav til validering af oplysninger.

Documentation icon

Dokumentation

Fuldt spor over foretagede handlinger og samtykke til behandling.

Compliance gavel icon

Håndtering

Med NewBanking overholder I alle krav - både GDPR og AML.

Nysgerrig?

Så bestil en gratis demo af NewBanking her.

Book en demo