Power & Utilities

  • Share

Er du klar til et ”GDPR Dawn Raid”?

26. februar 2019

En mørk og kold forårsmorgen står der fire personer i receptionen. De ankommer uanmeldt, og de skal tale med den dataansvarlige. De følgende timer gennemgår de virksomhedens dokumentation, procedurer, politikker og praksis for håndtering af persondata samt datasikkerhed. Det virker alvorligt, men er imidlertid kun en test fra EY's GDPR Dawn Raid Team for at sikre, at virksomhedens GDPR defence-file kan tåle et rigtigt sikkerhedsbrud eller besøg af det rigtige Datatilsyn.

Med den nye databeskyttelsesforordning (GDPR) har virksomheder og myndigheder en betydeligt strammere lovgivning og massive dokumentationskrav at leve op til. Og det er betydelige millionbøder, som venter virksomhederne, hvis GDPR-reguleringen ikke overholdes.

Det engelske datatilsyn har netop idømt en engelsk virksomhed en bøde på 4 mio. DKK som følge af et omfattende sikkerhedsbrud hos det amerikanske moderselskab, som bl.a. behandlede persondata på britiske borgere. 

Datatilsynet skal som central myndighed føre tilsyn, og den 8. oktober 2018 offentliggjorde tilsynet en række spørgeskemaer, der er benyttet ved nylige tilsyn. Datatilsynet understreger, at spørgsmål typisk er forskellige fra tilsyn til tilsyn, så de ikke kan bruges som fuldstændig tjekliste.

Kernen i Datatilsynets spørgeskema er dokumentation. Kan virksomheden dokumentere, at der er etableret de nødvendige opbevarings- og sletterutiner, adgangsbegrænsninger, logning, procedurer for sikkerhedsbrud, sikkerheds- og kontrolforanstaltninger, awareness om behandling af persondata hos organisationen osv.

Får virksomheden et sikkerhedsbrud bliver virksomheden tvunget til at fremlægge sin GDPR deference-file – eller mangel på samme. Et sikkerhedsbrud vil nemlig som hovedregel betyde, at virksomheden skal anmelde bruddet hos Datatilsynet – og her vil dokumentationen spille en afgørende rolle for, om bruddet fører til bøde eller ej.

Datatilsynet modtager lige nu rigtig mange anmeldelser om sikkerhedsbrud hos de danske virksomheder og organisationer. Og billedet er det samme på den globale bane.

Her kommer et udsnit af de utallige sikkerhedsbrud, som er set i skrivende stund:

  • Ukrypteret USB-stik med persondata blev tabt i lufthavn og fundet af en civilperson som læste indholdet og udleverede det til en britisk avis
  • Fremsendelse af medarbejderliste med oplysninger om bl.a. medarbejdere på flexjob til flere modtagere end nødvendigt pga. brug af forkert mailingliste
  • Mistet bærbar computer ved sikkerhedscheck i lufthavnen - medarbejderen kom til at tage en andens bærbar med sig
  • I forlængelse af fortrolig ansættelsessamtale blev der indhentet en reference. Den nuværende arbejdsgiver fik viden om, at medarbejderen havde været til jobsamtalen.

GDPR Dawn Raid

Selv best practice-sikkerhedsstandarder kan hackes. Spørgsmålet er derfor ikke, om et databrud sker, men hvornår. Derfor tilbyder EY nu kunderne et såkaldt ”GDPR Dawn Raid”, der trykprøver, om der er styr på GDPR-dokumentationen og IT-sikkerheden.

"EY agerer Datatilsyn og tropper op med både jurister og IT-sikkerhedseksperter ved morgenstunden hos vores kunder,” forklarer Julie Gerdes, som er Head of Employment & Privacy Law hos EY. ”GDPR er nemlig meget mere end jura. Ideen kom fra kunder, der vil have en form for ’stress-test’, så de både finder eventuelle svagheder og kan teste, om de kan håndtere et sikkerhedsbrud og er klar til et kontrolbesøg, hvor de skal dokumentere, hvordan de håndterer persondata,” siger Julie Gerdes.

"Vi har endnu ikke været ude hos nogen, der er gået glat igennem. Alle har fejl. Selv virksomheder, der har brugt mange penge og store ressourcer på området, dumper på nogle kritiske områder," siger Julie Gerdes.

Erfaringerne understreger ifølge Julie Gerdes behovet for at kigge virksomhedernes GDPR-foranstaltninger efter i sømmene.

"Der har været en stribe databrud de sidste par måneder, og vi kommer absolut ikke til at have set de sidste. Det er bare startskuddet. Best practice-virksomheder bliver også udsat for databrud. Derfor er det helt oplagt, at vi kommer ud og laver en form for stikprøvekontrol, fordi man til enhver tid skal kunne demonstrere, at ens processer er i orden," siger Julie Gerdes..

Internetkæmpen Google er netop idømt en bøde på 50 mio. euro (ca. 375 mio. kr.) af Frankrigs myndighed for databeskyttelse.

Dokumentationen driller

EY oplever efterspørgsel fra både små, mellemstore og store virksomheder.

"Det har været lidt overraskende at se nogle af de virksomheder, som er dumpet," siger Julie Gerdes, der ikke kan oplyse nærmere om kundelisten.

Hun kan til gengæld fortælle, at det især er kravene til dokumentationen af de GDPR-relaterede indsatser, der volder virksomhederne problemer. Det er for eksempel ikke nok, at der ligger en databehandleraftale i skuffen. Man skal derimod aktivt sikre sig, at de databehandlere, der behandler data på ens vegne, gør det på en sikkerhedsmæssig forsvarlig måde – og det skal man kunne dokumentere.

"Det er dokumentationsforpligtelsen, der er udfordringen for mange. Virksomheden kan have fortalt medarbejdere eller eksterne samarbejdspartnere, at man skal håndtere oplysninger på en bestemt måde, men man kan bare ikke dokumentere det, og det skal man kunne, hvilket er kommet bag på de fleste," siger Julie Gerdes, der godt kan forestille sig, at GDPR-kontrollerne bliver rutine.

"Persondataforordningen lægger op til, at man selv fører kontrol med sin organisation regelmæssigt, så det er planen på sigt, at det bliver en årligt tilbagevendende begivenhed på linje med en revision."

Kontakt os

Julie Gerdes, Head of Employment & Privacy Law, tlf. 2529 3403
Bodil M. Brabæk, Head of Privacy Law, tlf. 2529 3268
Peter Kold, Head of Privacy IT/Risk, tlf. 2529 4598
 

Typiske fejl fundet under kontrolbesøgene 

01 Kontrol med databehandlere og underdatabehandlere – den dataansvarlige virksomhed/myndighed har pligt til at påse behandlingssikkerheden hos sine databehandlere og underdatabehandlere, herunder påse at databehandleren handler inden for rammerne af databehandleraftalen.

02 Sletning af personoplysninger – den dataansvarlige må kun opbevare personoplysninger så længe, det er nødvendigt.

03 Samtykke i forbindelse med markedsføring og brugen af cookies.

04 Information til de registrerede – den dataansvarlige er forpligtet til at informere data-subjektet om behandlingen af dennes personoplysninger.

05 Gennemførelse af risikoanalyser – GDPR bygger i høj grad på en risikobaseret tilgang, når det kommer til beskyttelse af persondata. Den dataansvarlige er forpligtet til at fastsætte passende sikkerhedsforanstaltninger i tilknytning til sin behandling af persondata med henblik på at sikre et sikkerhedsniveau, der passer til de risici, som er identificeret som led i den dataansvarliges risikoanalyser.

06 Dokumentation for overholdelse af GDPR – den dataansvarlige skal kunne påvise overholdelsen af GDPR, herunder gennem implementering af passende databeskyttelsespolitikker.

07 Overførsel af personoplysninger til tredjelande – overførsel af persondata til såkaldte usikre tredjelande må kun ske, såfremt den dataansvarlige har sikret sig et tilstrækkeligt overførselsgrundlag, fx EU-Kommissionens standardkontraktbestemmelser, samtykke m.v.

 Kilde: EY

Kontakt os

Ønsker du yderligere information om Power & Utilities, er du altid velkommen til at kontakte os.
 

Connect with us

Gå i dialog med os via vores sociale medier, nyhedsbreve eller webcasts.