27. juni 2017

Gør de indledende øvelser til persondataforordningen allerede nu

Selvom EG Bolig understøtter og lever op til de it-mæssige krav for databehandling i den nye EU persondataforordning, kan du ikke bare læne dig tilbage. Størstedelen af de nye krav omhandler nemlig organisationens interne processer, og du kan med fordel allerede nu begynde at forberede en kortlægning af dine interne processer og implementere de forhøjede krav om dokumentation.

Det er it-systemerne, der understøtter sikker og lovmæssig korrekt omgang med persondata, men ansvaret og den ledelsesmæssige opgave ligger hos de enkelte organisationer. En af de største ændringer ved EU's kommende persondataforordning er, at det ikke er nok at overholde loven – som organisation skal du også kunne bevise, at du overholder loven, og dokumentere på hvilken måde du gør det.

For en boligorganisation betyder det konkret, at registrering af nye lejere, dokumenter til ind- og fraflytning, bankdata, cpr-numre etc. skal følge nogle dokumenterbare processer, der blandt andet beskriver, hvem der får indsigt i data, hvor og hvor længe data opbevares og til hvilket formål. Desuden skal organisationen skal beskrive sit beredskab i tilfælde af brud på datasikkerheden.

"Som sådan er reglerne ikke blevet strammet markant i forhold til den nuværende persondatalov, men der bliver indført en slags omvendt bevisbyrde og bøder på op til 4 procent af organisationens omsætning. Derfor er det nødvendigt at forholde sig til sine forretningsprocesser, uddanne sine medarbejdere i datasikkerheden og de vedtagne procedurer og sidst men ikke mindst at kunne dokumentere det og få nedfældet det hele på skrift," siger Kim Ø. Christensen fra EG Bolig.

Fællesnævnere for branchen

Kim Ø. Christensen illustrerer arbejdsbyrden som en 80-20-regel, hvor 80 procent af opgaven ligger hos den enkelte organisation, hvis den ønsker at leve op til de nye krav. Så meget betyder de interne procedurer og dokumentationen, og det vil ofte være individuelt og afhænge af den enkelte organisations sammensætning, dens medarbejdere etc. Alligevel er der også en række fællesnævnere, og dem er Kim Ø. Christensen og hans kolleger hos EG Bolig i fuld gang med at identificere:

"Vi har fået fuldt overblik over de ændringer, vi skal lave på EG Bolig – hvilke moduler vi skal tilpasse, og hvordan vi klarer den grundlæggende sikkerhed i databehandling og -opbevaring. Og dem bliver vi naturligvis klar med, inden reglerne træder i kraft. I forbindelse med denne kortlægning er vi stødt på mange generelle fællesnævnere for boligorganisationerne, så allerede efter sommerferien vil vi kunne hjælpe organisationerne med det arbejde, de nu selv står overfor," siger Kim Ø. Christensen.

Udpeg en sikkerhedsansvarlig, og sæt i gang

Nogle af de ting, EG Bolig vil kunne tilbyde, er en række seminarer om forretningsprocesser og sikker it-adfærd i organisationen. Konsulenterne vil også være behjælpelige med at kortlægge forretningsprocesserne i de enkelte organisationer og være med til at udforme den obligatoriske compliance-rapport, der dokumenterer, at og hvordan organisationen lever op til reglerne. Vi kan også hjælpe med databehandleraftaler med tredjepartsleverandører, der fx står for dataudveksling til din hjemmeside eller dit vaskeri.

"Vi får en del henvendelser fra kunder, der spørger, om de nye regler betyder øget behov for juridisk bistand. Men reglerne er som sådan ret klare. Det handler om at forankre ansvaret for it-sikkerheden hos en person i organisationen og ellers gå i gang med at danne sig et overblik over den databehandling, der findes i forretningsgangene. Ud fra det overblik kan man foretage en risikovurdering og se, hvad der skal gøres – og her er meget af det ens for vores branche," siger Kim Ø. Christensen fra EG Bolig.