forstå gdpr blog

En praktisk guide til overholdelse af databeskyttelse: Forståelse og anvendelse af GDPR-principperne og -kravene

Databeskyttelse er blevet en topprioritet for virksomheder og enkeltpersoner. Med komplekse regler som den generelle databeskyttelsesforordning (GDPR), kan det være en udfordring at navigere i compliance. Faktisk, over 359 millioner euro i betydelige GDPR-bøder er blevet udstedt indtil videre. Du skal forstå dine forpligtelser og overholde disse regler og samtidig beskytte dine kunders og medarbejderes privatliv.

Og mens mange organisationer hævder at være forberedte på databeskyttelsesforskrifter, har de muligvis endnu ikke truffet alle de nødvendige foranstaltninger for at retfærdiggøre sådanne krav.

Ifølge en undersøgelse blandt 205 virksomhedsledere i Storbritannien og USA foretaget af advokatfirmaet Womble Bond Dickinson, kan mange virksomheder implementere eksternt vendte handlinger, såsom at sætte et cookie-banner på deres hjemmeside eller opdatere privatlivets fred politikker, siger kun 34 % af alle respondenter, at de har udført datakortlægning og forstår datapraksis på tværs af organisationen.

"Virksomheder er ofte under-ressourcer og er nødt til at fokusere på kosmetiske ændringer ved at opdatere offentligt vendt indhold; dette eliminerer dog ikke det uundgåelige behov for at opbygge back-end-krav for virkelig at operationalisere overholdelseskravene,” siger Tara Cho, partner og formand for Privacy and Cybersecurity Team for Womble Bond Dickinson (US).

Så hvordan kommer organisationer igennem labyrinten af ​​databeskyttelsesforordninger?

GDPR-principper og overholdelse

GDPR beskriver syv vitale databehandlingsprincipper: lovlighed, retfærdighed, gennemsigtighed, formålsbegrænsning, dataminimering, nøjagtighed, opbevaringsbegrænsning, sikkerhed (integritet og fortrolighed) og ansvarlighed. Disse principper udgør kernen i en organisations databehandlingstilgang. Personoplysninger skal indsamles og behandles lovligt, retfærdigt og gennemsigtigt. Det bør anskaffes til specifikke, legitime formål og må ikke bruges på uforenelige måder. De indsamlede data skal være relevante, begrænsede og nøjagtige. Der skal tages skridt til at rette op på unøjagtigheder omgående.

Registreredes oplysninger bør kun opbevares, når det er nødvendigt til behandlingsformål. Sikkerhedsforanstaltninger skal være på plads for at beskytte mod uautoriseret behandling, tab eller beskadigelse. Organisationer skal demonstrere overholdelse.

Ud over disse principper dækker GDPR forskellige aspekter, herunder særlige behandlingsscenarier, dataoverførsler, retsmidler, ansvar og sanktioner.

Ifølge Louise Brooks, Head of Consultancy ved DQM GRC, UK GDPR er principbaseret, hvilket betyder, at den ikke har en foreskrevet liste over, hvad du må og ikke må. 

"En organisation skal overveje de rammer, som den britiske GDPR giver, og implementere den i forhold til konteksten af ​​deres virksomhed. Vi oplever, at kunderne kan kæmpe med dette koncept,” siger hun.

”Det kan også nogle gange være svært at etablere en positiv compliance-kultur, der sætter organisationer i stand til at træffe de rigtige valg med hensyn til databeskyttelse. Vi ser ofte databeskyttelse som en blokering snarere end en muliggører for forretningsmål. Den rette kultur i en organisation vil lette samarbejdet og sikre, at databeskyttelse er grundlaget for alle forretningsaktiviteter, der involverer persondata, er baseret på."

Individuelle rettigheder

GDPR giver personer flere rettigheder til at hjælpe dem med at kontrollere deres personlige data.

Disse rettigheder inkluderer retten til at blive informeret, retten til indsigt, retten til berigtigelse, retten til sletning (også kendt som retten til at blive glemt), retten til at begrænse behandlingen, retten til dataportabilitet og retten til at gøre indsigelse.

Organisationer skal tilbyde klare datadetaljer – hvad der indsamles, brug, deling. Enkeltpersoner kan anmode om deres behandlede data for nøjagtigheds- og lovlighedstjek. Unøjagtigheder kan rettes. Anmodninger om fjernelse af data gælder, når unødvendigt eller samtykke trækkes tilbage.

Brug af personoplysninger kan være begrænset, f.eks. anfægtet nøjagtighed eller ulovlig behandling. Enkeltpersoner kan genbruge deres data og overføre dem sikkert mellem organisationer. Nogle dataprocesser, såsom markedsføring, kan afvises. Disse rettigheder forstærker kontrollen med personoplysninger og fremmer retfærdighed og gennemsigtighed.

Brooks siger, at når det kommer til anmodninger om registrerede rettigheder, "bør en organisation starte med at forstå, hvilke rettigheder der gælder for hvilke af dens behandlingsaktiviteter."

"Dette er vigtigt, fordi det vil hjælpe organisationer med at forstå, hvor individets data er i organisationen, for eksempel i hvilke systemer, brugt af hvilke teams, og hvad de bruges til, tilføjer hun.

Lovligt grundlag for behandling

GDPR giver gyldige juridiske grunde til at behandle personoplysninger, der omfatter seks baser: samtykke, kontraktudførelse, legitim interesse, vital interesse, juridiske krav og offentlig interesse.

Samtykke involverer eksplicit tilladelse til specifik databehandling, karakteriseret ved frihed, specificitet, information og klarhed.

Udførelse af en kontrakt nødvendiggør databehandling for at opfylde eller påbegynde en kontrakt på en enkeltpersons anmodning.

Berettiget interesse retfærdiggør databehandling til organisatoriske eller tredjemands formål, medmindre det tilsidesættes af individuelle rettigheder.

Vital interesse indebærer databehandling for at sikre et individs eller en andens liv.

Juridisk krav kræver databehandling for at overholde organisatoriske juridiske forpligtelser.

Offentlig interesse medfører databehandling til offentlig opgavevaretagelse eller offentlig myndighedsudøvelse.

Før de behandler personoplysninger, skal organisationer fastlægge og dokumentere deres lovligt grundlag. Dette grundlag er forankret i GDPR eller andre relevante love inden for EU eller medlemsstaterne.

Datasikkerhed

GDPR lægger vægt på datasikkerhed og kræver robuste behandlingsforanstaltninger. Disse sikrer beskyttelse mod uautoriseret behandling, tab og beskadigelse ved at anvende passende tekniske og organisatoriske trin.

Organisationer overvejer risikoanalyse, politikker og fysiske/tekniske handlinger for datasikkerhed. Foranstaltninger sikrer datafortrolighed, integritet og rettidig genopretning efter hændelser.

eksempler: adgangskontroller, forebyggelse af datatab, kryptering, hændelsesresponsplaner, tredjeparts risikostyring og fysiske/logiske handlinger.

Regelmæssig gennemgang og test er afgørende for effektiv sikkerhed. Overholdelse fremmer tillid til interessenter og opbygger tillid.

Ansvarlighed og styring

Ansvarlighedsprincippet er et af de kritiske principper i GDPR. Organisationer skal tage ansvar for at behandle personoplysninger og overholde andre GDPR-principper. Dette omfatter en forpligtelse til at påvise overholdelse gennem dokumenterede procedurer og rutiner.

Organisationer skal være ansvarlige for deres dataindsamling, -behandling og -lagringsaktiviteter og skal kunne påvise, at de har truffet nødvendige foranstaltninger for at overholde GDPR-forpligtelserne. Dette kan realiseres ved hjælp af passende tekniske og organisatoriske strategier. Disse strategier omfatter;

  • Vedtagelse og udførelse af databeskyttelsespolitikker
  • Omfavnelse af 'databeskyttelse gennem design og standard'-filosofien
  • Etablering af formelle kontrakter med tredjepartsenheder, der håndterer personoplysninger
  • Opretholdelse af omfattende registreringer af behandlingsaktiviteter
  • Implementering af passende sikkerhedsprotokoller
  • Dokumentation og formidling af persondatabrud efter behov
  • Udførelse af vurderinger af databeskyttelsens indvirkning i situationer, der involverer væsentlige risici for enkeltpersoners rettigheder
  • Udpegning af en databeskyttelsesansvarlig, når det er nødvendigt
  • Overholdelse af relevante adfærdskodekser, mens du også tilmelder dig certificeringsprogrammer.

 

Ansvarlighedsforpligtelser er løbende, og organisationer skal gennemgå og opdatere deres foranstaltninger med passende intervaller. Implementering af en privatlivsstyring rammer kan integrere ansvarlighedsforanstaltninger og skabe en privatlivskultur på tværs af en organisation. Ansvarlighed kan hjælpe med at opbygge tillid til enkeltpersoner og afhjælpe håndhævelsesforanstaltninger.

Internationale dataoverførsler

GDPR dækker overførsel af personoplysninger til tredjelande eller internationale organisationer. Overførsler uden for EØS er begrænset, medmindre beskyttelse eller undtagelser gælder.

Dataansvarlige og databehandlere har brug for en aftale med definerede kriterier under GDPR. Persondataoverførsel til lande uden tilstrækkelig beskyttelse kræver "tilstrækkelige sikkerhedsforanstaltninger", der sikrer håndhævbare rettigheder og retsmidler for enkeltpersoner.

Tilstrækkelige sikkerhedsforanstaltninger kan omfatte mekanismer såsom standard kontraktklausuler, bindende virksomhedsregler eller godkendte adfærdskodekser eller certificeringsmekanismer. Derudover giver adskillige undtagelser mulighed for overførsel af personoplysninger uden for EØS uden tilstrækkelige garantier, såsom udtrykkeligt samtykke fra den enkelte, opfyldelse af en kontrakt, væsentlige hensyn til offentlig interesse eller etablering, udøvelse eller forsvar af juridiske krav.

Med den nye EU-USA-ramme for databeskyttelse på vej, og nogle organisationer flytter væk fra standard kontraktklausuler (SCC'er), er det vigtigt at bemærke, at en ny mekanisme kaldet en "databro" kan bruges til at overføre personlige data mellem EU og USA. Storbritannien og USA har indgået en principiel forpligtelse til at skabe en "databro" mellem de to lande. Denne mekanisme ville gøre det lettere for omkring 55,000 britiske virksomheder at overføre data frit til certificerede amerikanske organisationer uden besværligt bureaukrati eller regler.

Organisationer skal sikre, at de overholder reglerne omkring internationale dataoverførsler og anvende passende mekanismer til at sikre overholdelse.

Undtagelser

GDPR har flere undtagelser, der kan gælde under visse omstændigheder. Disse omfatter undtagelser for national sikkerhed og retshåndhævelse, visse typer af personoplysninger, journalistik og kreative udtryk, videnskabelig eller historisk forskning, aktiviteter uden for EU-lovgivningens anvendelsesområde, oplysninger, der ikke er i et "arkiveringssystem", økonomi, ledelse og forhandlinger, offentlig interesse og husholdningsbrug.

For eksempel gælder GDPR ikke, hvis en organisation ikke opererer inden for EU, ikke behandler personoplysninger, eller hvis den kun behandler data til indenlandske formål. Derudover er der undtagelser for behandling af personoplysninger til journalistiske formål eller til akademiske, kunstneriske eller litterære udtryk formål.

Organisationer skal nøje overveje, om nogen undtagelser gælder for deres behandlingsaktiviteter og skal overholde alle andre krav i GDPR, hvis der ikke gælder nogen undtagelse.

ISO 27001 og GDPR-overholdelse

ISO 27001 er en international standard for informationssikkerhed Management System (ISMS), der giver et glimrende udgangspunkt for at opnå de tekniske og operationelle krav, der er nødvendige for at reducere risikoen for et brud. EU's generelle databeskyttelsesforordning (GDPR) forpligter organisationer til at implementere relevante tekniske og organisatoriske foranstaltninger, herunder politikker, procedurer og processer, for at beskytte de personoplysninger, de behandle. Anvendelse af begge standarder vil hjælpe dig med at opfylde og demonstrere din overholdelse af kravene til privatliv og informationssikkerhed i GDPR.

Implementering af et ISO 27001-justeret ISMS kan hjælpe organisationer med at opnå GDPR-overholdelse omkostningseffektivt ved at tilvejebringe en ramme for håndtering af informationssikkerhedsrisici og demonstrere overholdelse af GDPRs tekniske og organisatoriske krav. Ved at implementere begge standarder kan organisationer sikre, at de opfylder kravene til privatliv og informationssikkerhed i GDPR og andre databeskyttelseslove, samtidig med at omkostningerne minimeres.

Det skal dog erkendes, at disse standarder ikke dækker alle aspekter af GDPR, såsom samtykke, dataportabilitet, retten til at blive glemt og internationale dataoverførsler. Derfor skal organisationer supplere deres ISO-rammer med andre tiltag for at sikre fuld GDPR-overholdelse.

Grundlæggende GDPR-principper og -krav for at opnå succes

Databeskyttelsesforskrifter som GDPR kan virke komplekse, men det er vigtigt at forstå kerneprincipperne. Med dette kan organisationer sikre overholdelse og beskytte kunders og personales privatliv.

Husk disse aspekter:

  • Få fat i lovlige databehandlingsgrundlag.
  • Sikre personlige data.
  • Holde ansvarlighed.
  • Overhold internationale regler for dataoverførsel.
  • Respekter GDPRs individuelle rettigheder og undtagelser.

Praktiske trin omfatter:

  • Almindelig risikovurderinger.
  • Robuste sikkerhedsforanstaltninger.
  • Dokumenterede behandlingsregistre.
  • Klar kommunikation med enkeltpersoner.
  • Konsekvente overholdelsesopdateringer.

 

Ved proaktivt at efterleve, vokser tilliden blandt interessenter, hvilket minimerer håndhævelsesrisici.

Forfatter

Rene Millman

Rene Millman er en alsidig freelanceskribent og udsender med speciale i cybersikkerhed, AI, IoT og cloud-teknologier. Sideløbende med sin rolle som medvirkende analytiker hos GigaOm, kommer han med stor erfaring som tidligere Gartner-analytiker med fokus på infrastrukturmarkedet. Rene Millman, der er kendt for sin ekspertise, har gjort hyppige tv-optrædener, delt indsigt og analyser om teknologitendenser og indflydelsesrige virksomheder, der former vores daglige liv. Hold dig opdateret med Rene Millmans indsigt ved at følge ham på Twitter.

Se alle indlæg af Rene Millman

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!