Ti ting, du bør vide om GDPR

Senest den 25. maj 2018 skal organisationerne være i stand til at overholde GDPR, så hvis man stiller de rigtige spørgsmål nu, slipper man måske for en slem hovedpine – og heftige bøder – på længere sigt.

KYOCERA har udarbejdet følgende vejledning, som tager fat på de vigtigste spørgsmål – lige fra, hvad GDPR er, til de nemt oversete implikationer vedrørende printersikkerhed og datastyring.

1. Hvad er GDPR?

GDPR står for General Data Protection Regulation (generel forordning om databeskyttelse) og er den nye EU-forordning, der skal erstatte databeskyttelsesdirektivet og dermed indirekte den nuværende version af databeskyttelsesloven. Den blev godkendt af EU-Parlamentet den 14. april 2016 og vedrører beskyttelse af personoplysninger og individets rettigheder. Dens formål er at lette strømmen af personoplysninger på tværs af de 28 EU-lande.

2. Hvornår træder GDPR i kraft?

GDPR blev lov i april 2016, men på grund af de betydelige ændringer, som visse organisationer bliver nødt til at foretage for at tilpasse sig forordningen, blev der aftalt en toårig overgangsperiode.

GDPR kan håndhæves, i hele Europa, fra og med den 25. maj 2018.

3. Hvem bliver berørt af GDPR?

GDPR gælder for alle organisationer, som behandler og er i besiddelse af personoplysninger om registrerede, som er bosiddende i EU. Det betyder, at forordningen også vil gælde for organisationer uden for Europa – uanset hvor personoplysningerne lagres og/eller behandles.

GDPR er også en forordning – ikke et direktiv. Det betyder, at en og samme forordning vedtages af og gælder i alle 28 EU-lande. Det betyder, at der ikke er nogen lokale udgaver eller fortolkninger af forordningen i de forskellige EU-lande.

Forordningen identificerer to forskellige roller, dataansvarlige og databehandlere, som begge er lige ansvarlige og skal demonstrere overholdelse af GDPR ved at sørge for en detaljeret behandling af fortegnelserne.

En dataansvarlig kan defineres som den fysiske eller juridiske person, der udøver kontrol med og er ansvarlig for føringen af fortegnelser over personoplysningerne og brugen af disse. En databehandler er derimod den enkeltperson, offentlige myndighed, institution eller andet organ, der behandler personoplysningerne på vegne af den dataansvarlige.

4. Hvad er personoplysninger?

Personoplysninger kan defineres som oplysninger, der vedrører en person (kaldet “den registrerede”), og som kan bruges til direkte eller indirekte at identificere den pågældende person. Det kan være alt fra et navn, et foto eller en e-mailadresse til bankoplysninger, indlæg på sociale netværk og medicinske oplysninger.

Selv oplysninger, som du måske ikke betragter som “personoplysninger”, såsom en computers IP-adresse eller en mobilenheds ID, er underlagt samme lovgivning og skal beskyttes i overensstemmelse hermed.

Genetiske data og biometriske data, såsom fingeraftryk, opfattes også som følsomme personoplysninger ifølge GDPR.

5. Hvad er straffen for manglende overholdelse?

Den maksimale bøde, der kan pålægges for de alvorligste overtrædelser, er 20 millioner euro eller 4 procent af den årlige globale omsætning – hvis dette beløb er større – for brud på persondatasikkerheden som følge af manglende overholdelse. For at sætte dette i perspektiv er den nuværende maksimale bøde, det britiske Information Commissioner’s Office kan opkræve, 500.000 pund, og Datatilsynet herhjemme giver langt mindre bøder, så den nye forordning kan medføre en betydeligt større straf.

Det er dog ikke alle bøder, der vil have denne størrelse. Der er nemlig en trinvis fremgangsmåde til at bestemme bødestraffene, som afhænger af alvorsgraden af bruddet. Chancerne for at få en bøde reduceres, hvis organisationen er i stand til at bevise, at et “sikkert brud” har fundet sted.

I sidste ende er det afgørende, at virksomhederne forstår, at bøderne for et brud på persondatasikkerheden i henhold til GDPR kan være enorme, og at det kan føre til alvorlige økonomiske vanskeligheder ikke at leve op til forordningen.

6. Skal jeg udpege en databeskyttelsesrådgiver?

Ikke alle virksomheder har behov for at udpege en databeskyttelsesrådgiver. Det er kun obligatorisk for organisationer, der beskæftiger sig med systematisk overvågning af enkeltpersoner “i stort omfang” eller behandling af følsomme oplysninger “i stort omfang” samt for offentlige myndigheder.

Uanset om du ifølge GDPR er forpligtet til at udpege en databeskyttelsesrådgiver eller ej, er det tilrådeligt at have en person i dit team, der kan udfylde denne rolle – måske på deltidsbasis eller kombineret med andre opgaver.

Vedrørende organisationer, hvor en databeskyttelsesrådgiver er påkrævet, er det vigtigt at bemærke, at denne ikke nødvendigvis behøver at være en medarbejder, der er fuldtidsansat hos organisationen. Funktionen kan, om nødvendigt, outsources.

Databeskyttelsesrådgiveren skal dog have en uafhængig rapporteringslinje (som de fleste “compliance officers” (tilsynsforordnede)), have beføjelser og referere direkte til ledelsen uden indblanding.

Den udpegede person skal være en fagperson inden for databeskyttelse, som har “ekspertise inden for databeskyttelsesret og -praksis”, for at kunne udføre sine opgaver og sikre, at organisationen altid lever op til GDPR.

7. Hvilke teknologier kan man som organisation gøre brug af for at leve op til kravene?

Ud over den indledende opmærksomhed, der kræves, og udarbejdelsen af en metode til at tackle denne tilpasningsudfordring kan en del af løsningen være at implementere et dokument-/indholdsstyringssystem (document/content management system).

Kryptering, herunder PC-, server-, netværks- og printerharddisk-kryptering, kan sandsynligvis også minimere konsekvenserne i tilfælde af et brud på persondatasikkerheden. Sådanne værktøjer vil medføre automatiserede fordele hvad angår behandlingen af personoplysninger, dvs. vedrørende identifikation, klassifikation, overvågning, sporing samt de tidsrammer for sletning og opbevaring, der er nødvendige for at leve op til GDPR-tidslinjerne og -retningslinjerne.

For at leve op til GDPR-kravene kan en organisation være nødt at gøre brug af en eller flere forskellige krypteringsmetoder vedrørende både lokale miljøer og cloud-miljøer, herunder følgende:

  • Servere, herunder gennem fil-, applikations- og databasekryptering samt fuld diskkryptering af virtuelle maskiner
  • PC-harddiske og perifere harddiske, herunder dem, der findes i printere, gennem kryptering
  • Datalagre, herunder gennem kryptering af netværkstilsluttede datalagre (network-attached storage – NAS) og lagringsnetværk (Storage Area Networks – SAN)
  • Netværk, for eksempel gennem kryptering af højhastighedsnetværk såsom VPN’er.

8. Kunne min printer være et svagt punkt med hensyn til sikkerhed og beskyttelse af data?

Nutidens kontorprintere og multifunktionsmaskiner har udviklet sig meget siden de separate, basale enheder, man tidligere anvendte. De er nu intelligente netværksopkoblede aktiver, der ligesom en PC har en skærm, et tastatur, en harddisk (som potentielt kan lagre følsomme oplysninger) og et operativsystem (OS).

Den stigende cyberkriminalitet fremhæver netværksopkoblede enheder, herunder printere, som svage led i forsvaret mod tyveri af virksomhedsdata og ondsindede angreb. Hvis printere ikke håndteres rigtigt, har de visse svagheder, som kan gøre det muligt for en eventuel angriber at bryde ind i virksomhedens netværk.

9. Hvordan kan jeg adressere disse sikkerhedstrusler?

Takket være de mange indbyggede innovative sikkerhedsforanstaltninger er KYOCERAs multifunktionsmaskiner godt rustet til at hjælpe dig med at overholde GDPR.

Vi tilbyder også masser af ekstra sikkerhedsværktøjer til printning, scanning og kopiering, som kan bidrage til at gøre din printeranvendelse og dokumentstyring endnu mere sikker. Biometrisk identifikation og brugergodkendelse i form af blandt andet KYOCERA Net Manager, der kun frigiver udskriftsjob, når en bruger har identificeret sig selv ved en multifunktionsmaskine, samt datakryptering, dataoverskrivningsprocesser og processer til automatisk sletning er eksempler på de løsninger, der kan give dig sikkerhed.

Mange virksomheder overser printersikkerhed og kan derfor blive inficeret af malware, der ender med at kompromittere hele netværket. For at sikre at netværket er klar til GDPR, er organisationerne nødt til hurtigt at medtage multifunktionsenheder i deres overordnede databeskyttelsesstrategi.

10. Hvad kan jeg gøre for at forbedre datastyringen med henblik på GDPR-efterlevelse?

Implementeringen af en eller flere tekniske løsninger vil gøre overholdelsen af GDPR lettere og mere effektiv sammenlignet med manuel behandling. Det er sandsynligvis også den mest omkostningseffektive strategi, når man tager følgende GDPR-krav i betragtning:

  • Personoplysningernes rigtighed
  • Umiddelbar adgang
  • Opbevaringen og sletningen af personoplysningerne

Mange virksomheder ved sandsynligvis ikke, hvordan de på en smart måde kan gå i gang med at klassificere dataene, der måske opbevares på flere forskellige IT-systemer. Der er dog mange teknologier til automatisk dataklassificering og databehandling på markedet i dag, blandt andet fra KYOCERA, og disse kan være en god løsning i denne forbindelse.

GDPR er også en god anledning til at skære ned på papirbaserede fortegnelser, som er sværere at holde styr på og kunne bringe dig på kant med forbrugerens “ret til at blive glemt”, hvis du ikke er i stand til at finde og ændre dokumenterne på grund af et knap så organiseret arkiveringssystem.

Klik her, for at downloade vores Whitepaper om GDPR