Den mest markante ændring i persondatalovgivningen i 20 år træder i kraft 25. maj 2018. Det betyder, at vi har cirka et år til at imødekomme de nye krav i EU-persondataforordningen (GDPR).
GDPR stiller blandt andet krav til, hvordan virksomheder indsamler, behandler og beskytter personhenførbare data, men mange danske virksomheder er slet ikke klar.
Derfor vil jeg gerne dele vores gode råd til at komme i gang med forberedelserne.
Formålet med GDPR er overordnet set at beskytte individets rettigheder i forbindelse med behandling af persondata.
Man vil sikre, at virksomheder kun indsamler netop de data, de har lov til, opbevarer og behandler dem forsvarligt, og ikke mindst sletter dem igen, når de ikke længere er relevante.
I vores dialog med kunder og partnere har vi fået indblik i, hvor de primære bekymringer ligger i forhold til at imødekomme GDPR, og hvor langt de er med forberedelserne.
Der tegner sig desværre et billede af, at der er en stor gruppe danske virksomheder, som slet ikke er begyndt at se på, hvordan de kan leve op til GDPR. Det kan blive en bekostelig affære.
Microsofts ansvar som 'dataansvarlig'
I GDPR skelnes der mellem "databehandler" og "dataansvarlig."
Mange kender Microsoft som såkaldt "databehandler," når de benytter vores erhvervsrettede cloud-tjenester som Office 365 eller Microsoft Azure. Men vi er samtidig "dataansvarlige" via vores forbrugerrettede tjenester såsom Skype, Xbox og Outlook.com.
Som dataansvarlig skal Microsoft leve op til GDPR på lige vilkår med andre dataansvarlige - danske, europæiske og globale.
Igennem snart et år har vi arbejdet med at sikre, at vi lever op til kravene. De erfaringer, som vi har fået igennem dette arbejde, vil vi dele, så det også kommer både vores privat- og erhvervskunder til gavn.
Det bedste udgangspunkt for efterlevelse af GDPR
I arbejdet med vores cloud-tjenester tager vi afsæt i fire grundlæggende principper:
1) Sikkerhed by Design.
2) Privacy by Design.
3) Gennemsigtighed.
4) Compliance ift. relevante love, reguleringer og standarder.
Det omfattende sæt af compliance-certificeringer, valideringer og så videre. som allerede er på plads i dag, giver kunder, som benytter Microsoft's cloudtjenester, det absolut bedste udgangspunkt for at kunne efterleve GDPR.
I princippet skal man i hvert enkelt tilfælde vurdere, hvordan data skal klassificeres og dermed behandles.
I Microsoft har vi i stedet valgt at klassificere alle kundedata som kritiske.
Det betyder, at ALLE kundedata i vores cloud-løsninger uden undtagelse behandles som de mest følsomme persondata og beskyttes som sådanne. Læs mere om disse principper, og hvordan det kan hjælpe din organisation på Cloud Trust-siden.
Spørgsmål fra vores danske kunder og gode råd
For nylig afholdte vi et webinar med fokus på, hvordan danske virksomheder kan efterleve kravene i GDPR og sikre, at de gode hensigter med GDPR realiseres. (Gense webinaret her.)
Specifikt talte vi om, hvordan danske virksomheder ved at anvende cloud-teknologi, nemmere kan imødekomme kravene. Tre spørgsmål fra deltagerne gik igen; Princippet om Privacy by Design, om datasubjekters rettigheder samt timing og proces.
1. Princippet om Privacy by Design
Der ligger mange ting bag begrebet Privacy by Design. Udover at benytte en teknologiplatform, som er bygget i tråd med princippet, så er det vigtigt, at man som dataansvarlig blandt andet sikrer sig, at man ved, hvilke data man indsamler, minimerer mængden af personhenførbare data og generelt sikrer god datahygiejne.
Virksomhederne skal derudover blandt andet sørge for, at der anvendes stærke adgangs- og databeskyttelses-kontroller både i egen organisation og hos en eventuel tredjeparts databehandler, eksempelvis Microsoft.
At benytte en tredjepart, som leverer en standardløsning, der som udgangspunkt efterlever principperne, kan dermed vise sig at være fordelagtigt.
2. "Datasubjekters rettigheder"
Med GDPR introduceres der i visse situationer en række nye rettigheder for datasubjekter (den person, hvis data indsamles/behandles).
Håndteringen af disse rettigheder er gældende fra 25. maj 2018.
Det betyder, at det er væsentligt, at virksomheden udover at håndtere processen i sin egen organisation også skal benytte og implementere tekniske løsninger, der kan assistere med at eksekvere processerne bag disse rettigheder.
Vi arbejder fokuseret på at kunne tilbyde funktioner, der kan hjælpe med det, og vi har i flere tilfælde allerede løsninger på plads. Funktioner som Advanced Data Governance i Office 365 vil for eksempel i mange tilfælde kunne assistere med at finde frem til personhenførbare data.
Der udestår endnu en del lovgivningsmæssig specificering af rettighederne, herunder hvordan rettighederne skal håndteres og tolkes. I takt med at det kommer på plads, vil vi dele informationer om, hvorledes vi mener, man bedst muligt kan håndtere kravene.
3. Timing og proces: Hvad sker der fra i dag og frem til 25. maj 2018
Justitsministeriet og Erhvervsstyrelsen udgav 9. februar 2017 deres første fortolkninger af nogle af GDPR principperne, som kan læses her.
Samtidig orienterede ministeriet og styrelsen om, at de i løbet af april 2017 vil udgive en 800-1.000 siders betænkning, der udgør forarbejdet til det lovforslag, man forventer fremsat ved Folketingets første samling i oktober 2017.
Betænkning og lovforslag vil indeholde mange flere detaljer om, hvordan de forskellige GDPR elementer fortolkes og implementeres i Danmark.
Hurtigst muligt efter frigivelsen i april 2017, vil vi opdatere vores kunder og partnere om indholdet.
Vi vil gerne være med til at skabe et godt fundament, der gør det muligt at efterleve GDPR, men det kan ikke løftes af én leverandør eller af teknologi alene. Det er et fælles ansvar at sikre, at virksomheder og offentlige institutioner er klar til 25. maj 2018.
Vi ser frem til et fortsat godt samarbejde på tværs af Danmark, og vi håber, at vores kunder og partnere ser en stærkt støtte i Microsoft, når de skal forberede sig på GDPR.