Det var helt afgjort nemmere "i gamle dage" - læg lidt clickbait ud på SOME^[1] med links til et fiffigt/underfundigt/frækt/fjollet spørgeskema, der ender med at spørge efter email adressen - BUM!

MailChimp

MailChimp er en virksomhed, der gennem en årrække har forfinet denne kunstart - at stille en online ressource til rådighed, hvor data hungrende organisationer af enhver art kan lokke godtfolk og husarer til, og med løfter om evigt liv, velstand, 77 jomfruer eller - og som oftest - et medlemsskab af 'inderkredsen' inkl et nyhedsbrev fra virksomheden i ny og næ^[2], "aftvinger" dem deres email adresse.

MailChimp er dygtige, og deres værktøjskasse vidner om at de både gør sig umage og at der er mange som har brugt dem gennem tiden.

Konsekvensen af GDPR for MailChimp

Fordi MailChimp indsamler email adresser^[3] har virksomheden valgt at bygge et dedikeret værktøj til GDPR-ramte (dvs EU kunder) som gennemgås i detaljer i denne post

Hov!? Er email adressen ikke en person oplysning?

"Jo det er!" siger du. Det står udtrykkeligt i forordningen! Nej - det gør det faktisk ikke! Ordet email er ikke nævnt overhovedet, og ordet e-mail er i forbindelsen [e-mailadresse] kun nævnt én gang, i præambel 23, og her i en forbindelse med vurderingen af hvorvidt en udbyder af tjenester og produkter, med hovedsæde udenfor Unionen, retter sine markedsføringsaktiviteter mod EU borgere; så nej - det står ikke i forordningen!

I Artikel 4, stk 1, litra 1 bruges alene betegnelserne ..."identifikationsnummer, lokaliseringsdata, en onlineidentifikator"... hvilket naturligvis sagtens kan oversættes til email-adresse^[4].

Hvem gemmer sig bag en email adresse?

Kernen i min argumentation er, at det er 100% umuligt at sige, hvem der gemmer sig bag en email adresse! Jovist, vi kan have en masse forestillinger - og vi kan ofte blive bekræftet i disse forestillinger, men i forhold til en direkte eller indirekte identificérbarhed, er en email adresse ganske usikker.

Omdirigering

Jeg tror at du selv har oplevet at skrive til en email adresse, blot for at blive besvaret fra en helt anden kant?! Måske har du skrevet til jens.m@mail.dc og fået et svar tilbage fra j.m@vvs-akupunktur-mester-byg.dk og undret dig.

Brugere kan sætte deres postkasser op til at blive sendt videre til en kollega, eller til en vilkårlig anden email adresse - og det er nok den nemmeste måde at gemme sig på, overhovedet.

Burner mailboxes

På stort set samme måde som du kan købe taletidskort og engangstelefoner, kan du også købe såkaldte burner mailboxes. Et eksempel er SlipperyEmail. Det er email adresser, som du kan bruge til at 'gemme' dig bag.

Generic mailboxes

En generisk mailbox er en postkasse som har en almindelig anvendelighed, fx. post@, info@, sales@, support@, og help@

Disse adresser bruges ofte til at samle emails, som der så kan sidde flere medarbejdere og besvarer/arbejder med.

Garbled mailboxes

En 'sludder' mailbox er en postkasse hvor identifikationen før '@' ikke giver nogen mening overhovedet. Den minder på mange måder om en burner mailbox, men hvor du sjældent kan sende emails fra en burner mailbox, så er den garblede mailbox din 'ejendom', og du kan sende fra den, fuldstændig, som var det din egen. Eksemplet på denne slags postkasser er; 1349uhnjv@, qqqqqq@, 3k3k3k3@, og vulletitut@

Hvor vil du hen med det her?

Jeg vil gerne pege på, at når 'vi' færdes i det offentlige rum, fysisk, er vi vant til at værne om vores privatliv. Måske går vi med store solbriller, måske har vi frakkekraven slået godt op, en hættetrøje trukket godt ned i panden, osv. Det er de færreste, der går nøgne rundt, med navn og adresse skrevet med rød tusch på maven!

Tilsvarende, når vi kører bil! Som privat er der ikke en tradition for at følge firmabilernes eksempel og skrive navn og adresse på bagklappen!

Der er intet til forskel fra dette, når vi færdes elektronisk! Det er så nemt som at klikke 3-4 gange, så har du en meget vanskeligt identificérbar email-adresse!

Sådan har GDPR-samfundet^[5] ikke valgt at anskue det, og det kan jo så godt undre én lidt - eller? Er det reelt i alles interesse, at vi som privat personer reelt er identificérbare, for dem, som godt må fifle lidt med den strøm af data, som pisker gennem glas og kobber?!?!

På anfordring beskriver jeg gerne et 100% privat alternativ^[6]

Hvad bruger du den til?

Unionen har gjort sig umage for at understrege at forordningen har sigte på at skærme EU borgeres privatliv og herunder sikre deres personlige oplysninger. Det betyder at din intention bliver afgørende. Hvad har du tænkt dig at bruge email adressen til?

Det er ikke ansvarspådragende at indsamle og gemme en email adresse - men i samme øjeblik du begynder at bruge den, er der en meget stor sandsynlighed for at du ifalder et ansvar efter forordningen!

I praksis betyder det, at du skal oplyse den, som bruger email adressen, om hvad du har tænkt dig at bruge email adressen til - og dette formål skal du kunne bevise at anvenderen af email adressen er 'nede med' ;)

Forordningen stiller krav om at du tager ordentlig vare på person(følsomme) oplysninger, men den siger intet om, hvordan den har forestillet sig, at du skal slippe afsted med at gøre det!

Taktik

For at beskytte data er du nødt til at kryptere indholdet af filer. Det er ikke gratis - altså i CPU tid i det mindste! Derfor er det en god taktik, at dele indholdet op i 2 dele. Den del, der ikke er person relateret, og den del, der er.

Den del der ikke er person relateret kan du fortsætte med at gemme, som du har gjort hidtil. Den anden del gemmer du i en separat folder.

Mac-værk

I macOS kan du følge denne 'spiseseddel' til at kryptere en folder.

Windows-værk

Under Windows 10 kan du kryptere indholdet af en folder ved at gøre som der står her.

Grundlaget

Persondataforordningen får i denne tid skyld for rigtig mange opgaver - som måske i sig selv er væsentlige og vigtige; det er bare ikke forordningen, der er skyld i at de nu lige med et er blevet meget vigtige!

De allerfleste virksomheder starter med at "nogen" ønsker at gøre noget, for "nogen andre"^[1]. Lykkes det for "nogen" bliver de ofte nødt til at have "folk" til at hjælpe sig - og her opstår balladen sådan set! For "nogen" kan ikke være sikker på at "folk" har samme indstilling, moral, etik, osv, til 'det der skal gøres' eller til 'nogen andre' for den sags skyld! Først prøver 'nogen' med gulerod^[2] derefter med regler;

forordningen er en erkendelse af at 'nogen' ikke har godt nok styr på deres 'folk'/dem selv og deres moral/etik.

Miljøet

Forordningen siger kun noget om hvordan 'nogen' skal opføre sig, når de behandler 'nogen andres' person(følsomme) oplysninger. Alle andre typer af oplysninger er helt uvedkommende^[3]

Er det dig, der er 'nogen' - og har 'nogen andre' bedt dig om at lave noget for dem? Noget på deres IT-infrastruktur?^[4]

Her er det vigtigt for dig at høre rigtig godt efter (det skal man altid gøre) hvad 'nogen andre' siger! Har de rent faktisk bedt dig om at gå ind i alle Word dokumenter og læse alle CPR-numre og forsøge at lære dem udenad eller har de bedt dig om at tage en backup af 'fællesdrevet'?

Den første situation kræver en (databehandler)aftale - den anden gør ikke!

Konsekvenserne

Men er det nu også rigtigt?, spørger du sikkert! Er du måske jurist? Nej det kan jeg sige med temmelig stor sikkerhed! Men lovens bogstav og lovens ånd er ikke så vanskelig at skille ad.^[5]

Et eksempel bør tjene til forklaring: I det her eksempel er 'nogen' et plakattrykkeri, 'nogen andre' et politisk parti, og 'noget' er plakater med billeder og navne og email-adresser og telefonnumre på politikere. Plakattrykkeriet er ikke blevet bedt om at ringe til politikerne! De er blevet bedt om at trykke plakaterne. De er ikke pligtige til at komme med en databehandleraftale i hånden, når de skal hente ordren på plakaterne.

Alternativt vil konsekvensen være det rene kaos - hvilket næppe kan være 'nogens' interesse ;)

Det er hverken en sygdom eller et afrikansk folkeslag! Det er blot en opdeling af forskellige begreber i nogle klasser, der gør det nemmere at træffe valg om hele grupper af begreber, i stedet for at gøre det for hvert enkelt begreb.

Data producenter/afsendere

Vi modtager data fra alle vore kunder, vore leverandører, vores bank, Skat og andre offentlige institutioner.

Vi kan inddele data, vi modtager, efter om afsenderen er en kunde, eller alle andre, og derudover, om kundens data er meta-data (om kunden) eller produktionsdata.

Registrerede

Vi har kun ganske få private kunder, og dem gemmer vi ikke nogen følsomme oplysninger om. De oplysninger vi gemmer, ligger i dinero.dk

Derfor er der ikke nok registrerede til at inddele dem i nogen særlige grupper.

Dataansvarlige

Vore kunder er dataansvarlige for meta-data om kunden og produktionsdata, mens vi typisk vil være dataansvarlige for meta-data om kundernes produktionsdata (disk-drev, konfigurationer mm).

Alene kundens produktionsdata kan indeholde personoplysninger og følsomme personoplysninger.

Øvrige afsendere er dataansvarlige.

Databehandlere

Vi er databehandlere for vore kunders meta- og produktionsdata, og øvrige afsendere, men det er udelukkende kunders produktionsdata, der kan indeholde personoplysninger og følsomme personoplysninger.

Data forbrugere/modtagere

Vore behandlinger (99% er opbevaring og store'n'forward) forbruges af vore kunder. Vi videresender ikke data fra vore kunder uden maskinel eller skriftlig instruktion, og vi behandler ikke person- eller følsomme personoplysninger for vore kunder.

Indtil nu har jeg været endog særdeles sparsom med at udlevere links til værktøjer her på bloggen - og det er der flere grunde til; jeg har ikke ledt intensivt efter værktøjer, og det er begrænset hvor meget værktøjer har gjort opmærksom på dem selv, og endelig er standarder, compliance, dokumentation, mm. ikke kendt for at være et 'værktøjernes Paradis'.

I dag fik jeg en demo af et værktøj, der på godt jydsk hedder DPO Advisor - https://dpoadvisor.com - og det er en web-app, du tilgår fra en desktop. Det hjælper dig med at få udfyldt alle nødvendige oplysninger om de behandlingsaktiviteter, din virksomhed har; og den bruger en særlig grafisk teknik til at give et godt overblik over hvor langt du er nået.

Hverken ALCO eller jeg a) har interesser i DPO Advisor, b) modtager nogen form for provision, honorar eller anden returkommission, eller c) favoriseres i andre sammenhænge som et resultat af denne omtale

Først vil jeg understrege, at det er min klare opfattelse at det danske Datatilsynet i sin kommunikation indtil videre har sat en streg under "samarbejde" - og at bøder, anbringelse i gabestok, offentlig pryglning, mv. kun vil være et aller-sidste håndgreb!

Det britiske Information Commissioners Office har fornylig uddelt en bøde på 120.000 britiske pund til et af London's mest berømte kvarterer, Kensington & Chelsea, i forbindelse med udleveringen af navne på indehavere af tomme ejendomme i området, til en avis!

Det kalder vi det i Danmark - andre steder er man mere rundhåndet med 'stjernerne'; Data Protection Officer har efter min mening sådan lidt mere pondus over sig, men 'nevermind'. Her er nogle kommenterede retningslinjer, fra Artikel 29 Arbejdsgruppen og Datatilsynet.

Formålet med retningslinjerne

Artikel 29 Arbejdsgruppen har vedtaget et sæt retningslinjer for databeskyttelsesrådgivere, den 13. december 2016 og senere den 5. april 2017.

Datatilsynet har også selv lagt en vejledning ud, i december 2017.

Formålet med disse retningslinjer er at tydeliggøre de relevante bestemmelser i databeskyttelsesforordningen for at støtte dataansvarlige og databehandlere i at overholde loven, men også at støtte databeskyttelsesrådgiverne i deres rolle. Retningslinjerne indeholder også anbefalinger til bedste praksis, der bygger på erfaringerne fra nogle EU-medlemsstater. Artikel 29-gruppen vil overvåge gennemførelsen af disse retningslinjer og kan supplere dem med yderligere detaljer, såfremt den finder det passende.

Sådan beskriver Artikel 29 Arbejdsgruppen selv formålet med retningslinjerne.

Denne vejledning har til formål at redegøre for kravene i forordningen til at udpege en databeskyttelsesrådgiver, dennes opgaver, kvalifikationer, stilling og inddragelse.

Datatilsynet er noget mere lakonisk ;)

Obligatorisk

For offentlige virksomheder/myndigheder/organisationer, samt andre der "som deres kerneaktivitet systematisk og i stort omfang overvåger personer eller behandler særlige kategorier af personoplysninger i stort omfang" er det et krav at der udpeges en databeskyttelsesrådgiver.

For alle andre er det en mulighed, men som Datatilsynet tilføjer, så er det "en forudsætning for at kunne overholde de grundlæggende principper om behandling af personoplysninger i forordningens artikel 5, at alle dataansvarlige og databehandlere har et overblik over, hvilke personoplysninger der behandles, og hvordan disse behandles i organisationen.

Som følge af princippet om ansvarlighed, bør alle organisationer, både private og offentlige dataansvarlige og databehandlere, uanset om de er forpligtede til at udpege en databeskyttelsesrådgiver, derfor tage stilling til, hvor i organisationen ansvaret for og håndteringen af databeskyttelsesspørgsmål bør ligge."

Funktion

Artikel 29 Arbejdsgruppen "ser databeskyttelsesrådgiveren som en hjørnesten i ansvarlighed, og udpegelsen af en databeskyttelsesrådgiver kan lette overholdelse og desuden blive en konkurrencemæssig fordel for virksomheder. Foruden at fremme overholdelse gennem implementering af ansvarslighedsværktøjer (som at lette udførelsen af konsekvensanalyser vedrørende databeskyttelse og revisioner, eller gøre dem lettere at udføre), så fungerer databeskyttelsesrådgivere som mellemled mellem relevante aktører (f.eks. tilsynsførende myndigheder, registrerede og forretningsenheder inden for en organisation).

Databeskyttelsesrådgivere er ikke personligt ansvarlige i tilfælde af manglende overholdelse af databeskyttelsesforordningen. Databeskyttelsesforordningen gør det klart, at det er den dataansvarlige eller databehandleren, som skal sikre og være i stand til at demonstrere, at databehandlingen udføres i overensstemmelse med forordningens artikler.

Datatilsynet understreger at "den dataansvarlige skal tage højde for databeskyttelsesrådgiverens opfattelse af en given situation, men det er den dataansvarlige, der skal overholde reglerne. Det er således også den dataansvarlige, der i sidste ende afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Det er ligeledes den dataansvarlige, som sanktioneres, såfremt reglerne ikke overholdes, også selvom dette skyldes ukorrekt rådgivning fra databeskyttelsesrådgiverens side." og anvendelsen af eksterne rådgivere kan således ikke fritage en virksomhed fra et ansvar, men

"Databeskyttelsesrådgiveren er en integreret del af den dataansvarliges organisation, der efter omstændighederne kan have andre opgaver for den dataansvarlige,

og databeskyttelsesrådgiveren har "en særlig stilling i forhold til Datatilsynet, idet databeskyttelsesrådgiveren er kontaktled til og skal samarbejde med Datatilsynet. Databeskyttelsesrådgiveren kan på den måde bl.a. være opdateret om og tage bestik af nye afgørelser, vejledninger mv.

Forpligtelsen til i visse tilfælde at skulle udpege en databeskyttelsesrådgiver er et element i databeskyttelsesforordningens fokus på ansvarlighed, når det kommer til at overholde databeskyttelsesreglerne.", siger Datatilsynet.

Opgaver

"Databeskyttelsesrådgiveren funktion består i at rådgive den dataansvarlige og hjælpe med at organisationen efterlever de databeskyttelsesretlige regler.

En databeskyttelsesrådgiver skal desuden prioritere sine opgaver og fokusere på de behandlinger af personoplysninger i den pågældende organisation, som konkret indebærer en højere risiko for brud på de databeskyttelsesretlige regler. Dog skal øvrige databeskyttelsesretlige områder, som indebærer en lavere grad af risiko ikke undlades." Således formulerer Datatilsynet rådgiverens arbejdsopgaver.

Rådgivning kan fx iflg Datatilsynet bla andre være:

• Organisationens indkøb af nyt IT-system,
• kravsspecifikationer til leverandører,
• udarbejdelse af organisationens data-politikker,
• iværksættelse af behandling af personoplysninger,
• overvejelser om, hvorvidt en given behandling af personoplysninger overholder
  de generelle behandlingsregler

Overvågning kan være:

• organisationens politikker om databeskyttelse
• uddannelse af personale i databeskyttelse
• oplysningskampagner
• fordeling af ansvar
• revisioner

Som en del af disse opgaver med overvågning af overholdelse skal databeskyttelsesrådgivere navnlig:

• indsamle oplysninger, der identificerer databehandlingsaktiviteter
• analysere og kontrollere databehandlingsaktiviteternes overholdelse af bestemmelserne
• informere, rådgive og rette henstillinger til den dataansvarlige eller databehandleren.

Konsekvensanalyser skal rådgiveren ikke selv udarbejde - det er den funktion eller afdeling, hvor behandlingen af person oplysninger finder sted, der skal forestå udarbejdelsen, men databeskyttelsesrådgiveren kan rådgive, fx

• om der skal gennemføres en konsekvensanalyse
• hvilken fremgangsmåde der skal anvendes ved gennemførelse af konsekvensanalysen
• om konsekvensanalysen kan gennemføres internt, eller om gennemførelsen kræver antagelse af ekstern bistand
• hvilke sikkerhedsforanstaltninger (tekniske og organisatoriske) som skal anvendes for at begrænse risici i forhold til de registreredes rettigheder og interesser
• om konsekvensanalysen er korrekt gennemført, og om dens konklusioner er i overensstemmelse med de databeskyttelsesretlige regler

Føring af fortegnelser er ikke databeskyttelsesrådgiverens opgave! I praksis opretter databeskyttelsesrådgivere ofte oversigter og fører fortegnelser over databehandlingsaktiviteterne baseret på oplysninger, som de modtager fra de forskellige afdelinger i deres organisation, som er ansvarlige for behandling af personoplysninger. Denne praksis er blevet etableret under mange nuværende nationale love og under de databeskyttelsesregler, der finder anvendelse for EU-institutioner og -organer.

Artikel 39, stk. 1, indeholder en liste over opgaver, som databeskyttelsesrådgiveren skal have som minimum. Der er derfor intet til hinder for, at den dataansvarlige eller databehandleren tildeler databeskyttelsesrådgiveren opgaven med at føre fortegnelser over databehandlingsaktiviteterne under den dataansvarliges eller databehandlerens ansvar. En sådan fortegnelse bør betragtes som et af de værktøjer, der sætter databeskyttelsesrådgiveren i stand til at udføre sine opgaver med at overvåge overholdelsen samt informere og rådgive den dataansvarlige eller databehandleren.

Under alle omstændigheder bør fortegnelsen, som skal føres i henhold til artikel 30, også ses som et værktøj, som giver den dataansvarlige og på anmodning den tilsynsførende myndighed en oversigt over alle de databehandlingsaktiviteter, som en organisation udfører på personoplysninger.
Fortegnelsen er således en forudsætning for overholdelse og som sådan en effektiv
ansvarlighedsmåler.

Samarbejde med Datatilsynet på vegne af virksomheden.
Noget Datatilsynet har defineret sådan: "En organisation er forpligtet til at høre Datatilsynet inden behandling, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen af personoplysninger vil føre til høj risiko
i mangel af foranstaltninger truffet af organisation for at begrænse risikoen.

Det følger af forordningen, at databeskyttelsesrådgiveren skal samarbejde med tilsynsmyndigheden og fungere som tilsynsmyndighedens kontaktperson. Det kan f.eks. være databeskyttelsesrådgiveren, der på vegne af den dataansvarlige, hører tilsynsmyndigheden.

Være kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angående alle spørgsmål om behandling af personoplysninger for de personer, der behandles oplysninger om
Databeskyttelsesrådgiveren skal inddrages af den dataansvarlige i tilfælde af, at konkrete klagesager indbringes for Datatilsynet. Databeskyttelsesrådgiveren bør ligeledes orienteres, når Datatilsynet beslutter at gennemføre et eventuelt tilsyn af den dataansvarlige."

Udpegelse af en databeskyttelsesrådgiver

Obligatorisk udpegelse

Artikel 37, stk. 1, i databeskyttelsesforordningen kræver, at en databeskyttelsesrådgiver udpeges i tre specifikke tilfælde:

1. når behandlingen foretages af en offentlig myndighed eller et offentligt organ
2. når den dataansvarliges eller databehandlerens kerneaktiviteter kræver regelmæssig og systematisk overvågning af registrerede i stort omfang eller
3. når den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger eller personoplysninger vedrørende straffedomme og lovovertrædelser.

Frivillig udpegelse

Datatilsynet lister en række aktiviteter, som det benævner 'biaktiviteter', som ikke kræver en rådgiver:

• Kundekontakt- eller support
• HR-oplysninger
• Salg
• Kundekartotek
• Online bookingsystem
• Bonuskort
• Behandling af klientoplysninger (revisorer, advokater, ingeniører mv.)
• IT-support

Datatilsynet lister også en række brancher, som ikke har behandlingen af person oplysninger som kerneaktivitet:

Eksempler på brancher, der som udgangspunkt ikke har behandling af personoplysninger som kerneaktivitet:

• Privatskoler og døgninstitutioner
• Forsyningsselskaber
• Håndværksfaget
• Hotel- og restaurationsbranchen
• Servicebranchen
• Detailhandel

Falder din virksomhed herind under eller falder den ikke under nogen af de 3 specifikke tilfælde ovenfor, foreslås det "at dataansvarlige og databehandlere dokumenterer den interne analyse, som er udført med henblik på at bestemme, hvorvidt en databeskyttelsesrådgiver skal udpeges, for dermed at kunne demonstrere, at de relevante faktorer er blevet taget korrekt i betragtning."

Private virksomheder i Danmark skal altså som hovedregel ikke udpege en databeskyttelsesrådgiver!

I stedet for at udpege en rådgiver, kan du "benytte personale eller eksterne rådgivere til opgaver, der relaterer til beskyttelse af personoplysninger." Her er det vigtigt at "sikre, at der ikke er forvirring med hensyn til deres titel, status, stilling og opgaver. Det bør derfor tydeliggøres i enhver kommunikation inden for virksomheden samt med databeskyttelsesmyndighederne, registrerede og den brede offentlighed, at titlen på denne person eller rådgiver ikke er en databeskyttelsesrådgiver."

Du kan fx vælge at udpege en medarbejder, der f.eks. er compliance-rådgiver, og så er virksomheden ikke forpligtet til at efterleve forordningens krav til en databeskyttelsesrådgiver!

Ekspertise og kvalifikationer

Efter Artikel 37, stk. 5, skal databeskyttelsesrådgiveren "udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39."

Der er ikke opbygget nogen formaliseret uddannelse på området, hvilket naturligt er en ulempe for alle, men desto vigtigere er det, at bruge sund fornuft og grundige interviews.

Ekspertise niveau

Der er ingen præcis definition, men skal være rimeligt i forhold til
behandlingsaktiviteternes følsomhed, kompleksitet og omfang i den pågældende organisation. Er databehandlingen særlig kompleks, eller behandles følsomme data i stort omfang, bør databeskyttelsesrådgiveren være i besiddelse af større ekspertise. Det afhænger også af, om organisationen systematisk overfører personoplysninger ud af EU. Vælg en databeskyttelsesrådgiver med omhu under hensyntagen til spørgsmålene om databeskyttelse, som opstår inden for organisationen.

Faglige kvalifikationer

Databeskyttelsesrådgiveren bør have kendskab til erhvervsområdet og den dataansvarliges organisation, og en god forståelse af de behandlingsaktiviteter, som udføres, informationssystemer og datasikkerhed samt den dataansvarliges databeskyttelsesbehov.

Hvem kan være databeskyttelsesrådgiver?

Alle, som organisationen finder kvalificeret til at være databeskyttelsesrådgiver, kan som udgangspunkt varetage funktionen:

• En intern medarbejder
• En fælles databeskyttelsesrådgiver for hele eller flere organisationer
• En ekstern databeskyttelsesrådgiver.

Intern medarbejder
Du kan udpege en intern medarbejder, og vedkommende skal ikke varetage funktionen på fuld tid. Derfor kan fx en medarbejder i IT-afdelingen godt varetage funktionen som databeskyttelsesrådgiver på deltid eller nogle timer om ugen. Vedkommende skal blot kunne udøve sit hverv fyldestgørende.

Det kan med fordel være en person, som i forvejen har et vist kendskab til eller indsigt i håndtering af databeskyttelsesretlige spørgsmål i organisationen. Selve vurderingen af, hvor meget tid en medarbejder skal bruge på fyldestgørende at kunne efterleve kravene til en databeskyttelsesrådgiver i organisationen, afhænger af en konkret vurdering af behovet hos organisationen.

Interne ansatte, der ikke kan være databeskyttelsesrådgiver
En databeskyttelsesrådgiver skal både være uafhængig og være i stand til at udøve uvildig rådgivning til organisationen. Derfor kan en databeskyttelsesrådgiver ikke være den øverste IT-ansvarlige eller øverste HR-ansvarlige i en organisatio!

Ekstern medarbejder
Du kan vælge at udpege en ekstern databeskyttelsesrådgiver. Enten en rådgiver (konsulentvirksomhed), såsom en bestemt advokat eller revisor, eller andre kvalificerede eksterne parter.

Offentliggørelse og meddelelse om databeskyttelsesrådgiverens kontaktoplysninger

Artikel 37, stk. 7, i databeskyttelsesforordningen kræver, at den dataansvarslige eller databehandleren:

• offentliggør databeskyttelsesrådgiverens kontaktoplysninger
• meddeler databeskyttelsesrådgiverens kontaktoplysninger til de relevante tilsynsmyndigheder.

Formålet er at de registrerede (både i og uden for organisationen) og tilsynsmyndighederne kan kontakte databeskyttelsesrådgiveren uden at behøve kontakte nogen anden del af organisationen. Fortrolighed er her et meget vigtigt punkt!

Databeskyttelsesrådgiveren er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine opgaver i overensstemmelse med EU-retten eller medlemsstaternes nationale ret (artikel 38, stk. 5).

Oplys

• en postadresse,
• et dedikeret telefonnummer og/eller
• en dedikeret e-mailadresse
• eller andre relevante kommunikationsmidler, fx dedikeret hotline eller en dedikeret kontaktformular rettet til databeskyttelsesrådgiveren på organisationens hjemmeside

Artikel 37, stk. 7, kræver ikke, at de offentliggjorte oplysninger også omfatter navnet på databeskyttelsesrådgiveren, så det er op til den dataansvarlige og databehandleren samt databeskyttelsesrådgiveren at beslutte, om dette er nødvendigt eller nyttigt under de særlige omstændigheder.

Artikel 29 Arbejdsgruppen anbefaler også, at en organisation oplyser sine medarbejdere om navnet på databeskyttelsesrådgiveren og dennes kontaktoplysninger.

Databeskyttelsesrådgiverens stilling

Databeskyttelsesrådgiveren skal inddrages i alle spørgsmål vedrørende beskyttelse af
personoplysninger Artikel 38 i databeskyttelsesforordningen fastsætter, at den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren "inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger".

At ledelsen bruger rådgiveren aktivt gør det nemmere at overholde forordningen, og fremme en indbygget databeskyttelse. Derfor bør det være standardprocedure hos organisationens ledelse, at

• inddrage rådgiveren på så tidligt et trin som muligt i alle spørgsmål vedrørende databeskyttelse,
• søge råd hos databeskyttelsesrådgiveren, i forbindelse med konsekvensanalyser vedrørende databeskyttelse
• databeskyttelsesrådgiveren opfattes som en samtalepartner i organisationen, og at han eller hun indgår i de relevante arbejdsgrupper, der beskæftiger sig med databehandlingsaktiviteter inden for organisationen
• databeskyttelsesrådgiveren regelmæssigt inviteres til at deltage i møder på senior- og mellemlederniveau
• rådgiverens tilstedeværelse er ønskværdig, når der skal tages beslutninger, som har en databeskyttelsesdimension. Alle relevante oplysninger skal videregives rettidigt til databeskyttelsesrådgiveren, så denne kan give passende rådgivning
• databeskyttelsesrådgiverens udtalelser altid tillægges behørig vægt. Har ledelsen ikke til hensigt at følge rådgiverens anbefalinger/henstillinger, vil det være god praksis at dokumentere årsagerne hertil
• databeskyttelsesrådgiveren omgående høres i tilfælde af, at et brud på datasikkerheden eller en anden hændelse har fundet sted

Nødvendige ressourcer

Organisationen skal ifølge forordningens Artikel 38, stk. 2, støtte
databeskyttelsesrådgiveren ved at "tilvejebringe de nødvendige ressourcer til at udføre [dennes] opgaver, tilgå personoplysninger og behandlingsaktiviteter samt til opretholdelse af databeskyttelsesrådgiverens ekspertise".

Det vil især sige:

• aktivt at støtte databeskyttelsesrådgiverens funktion fra seniorledelsen (fx på bestyrelsesniveau)
• at give databeskyttelsesrådgiveren nok tid til at gennemføre de opgaver, som hvervet medfører. Det er især vigtigt, hvis en intern medarbejder har dette hverv på deltidsbasis, eller en ekstern databeskyttelsesrådgiver som udfører databeskyttelse i tilslutning til andre opgaver. Sker det ikke, risikerer du at modstridende prioriteter kan resultere i, at databeskyttelsesrådgiver pligterne forsømmes
• at sørge for passende støtte i form af finansielle ressourcer, infrastruktur (lokaler, faciliteter, udstyr) og eventuelt personale
• officiel kommunikation af udpegelsen af databeskyttelsesrådgiveren til alt personale for at sikre, at dennes eksistens og funktion er kendt inden for organisationen
• nødvendig adgang til andre afdelinger som personale, juridisk, IT, sikkerhed osv., så databeskyttelsesrådgiveren kan modtage afgørende støtte, input og oplysninger fra disse andre afdelinger
• løbende efter- og videreuddannelse. Datasikkerhedsrådgivere skal have mulighed for at holde sig ajour med hensyn til udviklingen inden for databeskyttelse. Målet bør være konstant at øge datasikkerhedsrådgivernes ekspertiseniveau, og de bør tilskyndes til at deltage i kurser om databeskyttelse og andre former for professionel udvikling, såsom at deltage i fora for privatlivets fred, workshops osv.

Instruktioner og udøvelsen "af deres hverv på uafhængig vis"

Artikel 38, stk. 3, fastsætter nogle grundlæggende garantier for at sikre, at databeskyttelsesrådgivere er i stand til at udføre deres aktiviteter med tilstrækkelig grad af uafhængighed inden for deres organisation.

Det betyder især at dataansvarlige og databehandlere forpligtet til at sikre, at
databeskyttelsesrådgiveren "ikke modtager instrukser vedrørende udførelsen af disse opgaver", uanset om de er ansat hos den dataansvarlige eller ej.

Videre betyder det at rådgiveren ikke kan afskediges for at udføre [sine] opgaver, eller sanktioneres. Sanktioner kan antage forskellige former og kan være direkte eller indirekte. De kan for eksempel bestå af udebleven eller forsinket forfremmelse, forhindringer for karriereudvikling, udelukkelse fra personalegoder, som andre medarbejdere modtager. Det er ikke nødvendigt, at disse sanktioner faktisk udføres; den blotte trussel er tilstrækkelig, så længe de bruges til at straffe databeskyttelsesrådgiveren på grund af årsager relateret til dennes aktiviteter.
Som det gælder for en normal lederstilling, og som det ville være tilfældet for enhver anden medarbejder eller kontrahent under og underlagt gældende national kontrakt-, arbejds- eller strafferet, kan en databeskyttelsesrådgiver stadig afskediges legitimt af andre grunde end udførelsen af opgaverne som databeskyttelsesrådgiver (f.eks. i tilfælde af tyveri, fysisk, psykologisk eller seksuel chikane eller lignende grov forseelse).

Der er ikke noget krav om en certificering efter noget særligt regime, men forordningen anbefaler at man, hvor det er muligt, vælger certificeringer som værktøj til at kunne dokumentere organisationens evne til at opfylde forordningens artikler, og her altså også artiklerne om informationssikkerhed og styring af risici for brud på datasikkerheden.

Ikke kun personoplysninger

GDPR er kun interesseret i beskyttelsen af oplysninger som er registreret om fysiske personer der har statsborgerskab i Unionen, mens ISO27001 hjælper dig med at opbygge et system, der beskytter alle de oplysninger, du registrerer - også dem, du har på andre medier end elektroniske!

Kontrol og sikkerheds rammeværktøj

Ifølge forordningen skal din virksomhed vælge tilstrækkelige tekniske og organisatoriske kontroller og værktøjer til at modvirke de identificerede risici. Hovedparten af de databeskyttelses indsatser, som forordningen anbefaler, er de samme som ISO27001 anbefaler.

Mennesker, processer og teknologi

ISO27001 er en international standard som omfatter de 3 essentielle aspekter af informationssikkerhed: mennesker, processer og teknologi. Det betyder at du beskytter din virksomhed mod risici, der ikke kun er teknologi båret, men også eksempelvis dårligt uddannede/informerede medarbejdere, og ineffektive arbejdsgange.

Ansvarlighed

ISO27001 stiller et krav om opbakning fra topledelsen, og indarbejdning i organisationen og virksomhedskulturen, bla ved udpegning af en højtstående funktionær med ansvar for virksomhedens ISMS^[1]. Tilsvarende forlanger forordningen en tydelig ansvarlighed for databeskyttelsen igennem hele organisationen.

Risiko analyse

På samme vis som forordningen kræver en vurdering af risici fsv angår følsomme perosn oplysninger, kræver det gennemførelsen af jævnlige risiko analyser, for at beskytte virksomhedens informationsaktiver, og her identificere trusler og sårbarheder.

Kontinuérlige forbedringer

ISO27001 forlanger at virksomhedens ISMS overvåges konstant, opdateres og gennemgåes med henblik på forbedring - for at følge din virksomheds udvikling - og dermed sikrer at ISMS'et tilpasser sig ændringer, både internt og eksternt og kontinuért er med til at identificere og reducere risici.

Revision, afprøvning og tilsyn

For at din virksomhed kan overholde forordningens artikler er det nødvendigt at udføre jævnlige afprøvninger og revisioner for at sikre at det regime som bevarer data sikkerheden fungerer effektivt. ISO27001 standarden kræver tilsvarende at ISMS'et jævnligt bliver revideret ud fra de interne revisions retningslinjer som beskrives i standarden.

Certificering

Som nævnt indledningsvis er det et krav i forordningen at virksomheden demonstrerer evnen til at overholde forordningens artikler. Opretholdelsen af et certifikat - som fx ISO27001 - er en klar indikation af det er tilfældet, for så vidt angår data beskyttelsen.