20. december 2016

Sådan bliver du klar til den nye persondataforordning

Som bolig- og ejendomsadministration er du også omfattet af den nye EU-persondataforordning, der træder endeligt i kraft i maj 2018.

Persondataforordningen fra EU skal sikre ensartede regler for håndtering af persondata på tværs af EU-landene. I Danmark har vi i forvejen regler om it-sikkerhed i Persondataloven fra 1995, men mange virksomheder og organisationer nåede aldrig at leve op til loven.

Som systemudviklere er det naturligvis vores opgave at understøtte de skærpede krav til håndtering af persondata. Som organisation og bruger af dit it-system skal du imidlertid også gøre dig en række overvejelser om dine rutiner og forretningsgange.

Vi har talt med e-Boks' Head of Security Jacob Zwicki, der har dykket ned i reglerne. E-Boks sørger blandt andet for, at dokumenter kan sendes sikkert via e-Boks. Jacob Zwicki fremhæver tre principper, du skal være særligt opmærksom på:

1) Bedre beskyttelse af persondata

Et grundprincip i persondataforordningen er, at borgernes data skal beskyttes bedre. I de nye regler defineres persondata langt bredere, end vi har være vant til. Derfor vil det meste persondata blive betragtet som personlig data – også eksempelvis blot et navn eller en IP-adresse.

"Alle, der behandler personlig data i EU, risikerer bøder, hvis de ikke overholder retningslinjerne i forordningen. I løbet af 2017 afgøres det, i hvilket omfang Danmark bliver omfattet af EU's persondataforordning, men du kan med fordel allerede nu sikre dig, at du som minimum har styr på de basale regler som eksempelvis at sende personlig data i krypteret form," siger Jacob Zwicki.

2) Borgeren får mere ret til egne data

Den enkelte borger får mere ret til sine egne data end tidligere, og det betyder, at dine lejere skal kunne få adgang til at få viden om sine data og få dem rettet. Når en lejer eksempelvis er fraflyttet, skal vedkommende kunne få sine data slettet og få oplyst, hvem der har haft adgang til at se dem.

"Det kan betyde store ændringer for nogle organisationer, at borgerne har større indsigtsret til sine data end før, og systemer og processer skal konstrueres, så de understøtter dette. Organisationer kan godt begynde at forberede sig på de skærpede regler om, hvordan brugernes henvendelser vedrørende persondataforordningen skal behandles og af hvem. Den officielle betegnelse for en sådan person er Data Protection Officer (DPO) og vil blive obligatorisk for en række organisationer," siger Jacob Zwicki.

3) Udvidet dokumentation og samtykkeerklæring

Som organisation skal du fremover have nedfældet en beskrivelse af, hvordan du behandler og beskytter personlig data. Det skal blandt andet fremgå, hvordan man som bruger skal henvende sig til din organisation angående dataspørgsmål. Desuden skal din samtykkeerklæring eksplicit beskrive, hvilke persondata din virksomhed indsamler, hvordan de håndteres, hvor længe de gemmes, hvilke databehandleraftaler du har med leverandører etc.

"Dokumentation, samtykkeerklæringer og beskrivelser af personlig databehandling vil i de fleste tilfælde skulle tilpasses," siger Jacob Zwicki.

Vil du læse mere om, hvad du kan gøre allerede nu, kan du læse Datatilsynets vejledning: https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/12_spoergsmaal_-_GDPR.pdf

Jacob Zwicki er Head of Security hos e-Boks og har mange års erfaring med it og sikkerhed fra blandt andet de store banker i Danmark.

OM INTEGRATION TIL E-BOKS

Træk information direkte fra EG Bolig, og gør det nemt at distribuere dokumenter som lejekontrakter, varslinger og andre vigtige dokumenter digitalt via e-Boks. Du kan også sende dokumenter til digital underskrift hos modtageren, hvilket sparer tid og arbejdsgange for dine medarbejdere – ligesom dine lejere og beboere slipper for at skulle underskrive papirer fysisk og sende dem retur med post.