18. december 2017

Tid til de indledende øvelser til GDPR

Når EU's kommende persondataforordning (GDPR) træder i kraft til maj 2018, lever EG Brandsoft op til de it-mæssige krav for databehandling. Det betyder dog ikke, at du kan læne dig tilbage. Størstedelen af de nye krav omhandler nemlig den enkelte organisations interne processer. Derfor er tiden inde til at se nærmere på interne data-processer.

Et it-system kan understøtte sikker og lovmæssig korrekt omgang med persondata, men ansvaret og den ledelsesmæssige opgave ligger hos de enkelte organisationer. En af de største ændringer ved GDPR er, at det ikke længere er nok at overholde loven – som organisation skal du også kunne bevise, at du overholder loven, og dokumentere, på hvilken måde du gør det.

Behandling af persondata på kirkegårdskontoret skal derfor følge nogle dokumenterbare processer, der blandt andet beskriver, hvilke medarbejdere der får indsigt i persondata, hvor og hvor længe data opbevares og til hvilket formål. Desuden skal organisationen beskrive sit beredskab i tilfælde af brud på datasikkerheden.

"Vi har blandt andet opdateret kirkegårdsløsningen, så det er entydigt, hvem der har administratorrettigheder. Derfor kan den enkelte bruger nu se, hvem han skal henvende sig til for at få adgang til yderligere persondata. Og der er til enhver tid en log over, hvilke brugere der har haft adgang til data," siger Frank Kragelund Hansen, direktør i EG Brandsoft.

Udpeg en sikkerhedsansvarlig, og sæt i gang

Kirkegårdskontoret bør nu sørge for, at ansvaret for it-sikkerheden ligger hos en person i organisationen, og ellers gå i gang med at danne sig et overblik over den databehandling, der findes i arbejdsgangene. Der vil ofte være en stiltiende forventning om, at den it-ansvarlige automatisk bliver ansvarlig for datasikkerheden, men det er vigtigt at tage snakken og formelt udpege en dataansvarlig.

"Reglerne er ikke blevet meget strammerer i forhold til den nuværende persondatalov, men det er sanktionerne, og der bliver indført en slags omvendt bevisbyrde. Det handler altså om at kunne arbejdsprocesserne, uddanne sine medarbejdere i datasikkerheden og de vedtagne procedurer, og sidst men ikke mindst at kunne dokumentere det og få nedfældet det hele på skrift," siger Frank Kragelund Hansen, direktør i EG Brandsoft.

Han tilføjer, at det kan medføre lidt mere arbejde især for mindre sogne, og det kan i nogle tilfælde kræve efteruddannelse. Når det er sagt, handler det mest af alt om at behandle persondata med omhu.