Nye regler for persondata

Publiceret 03-10-2017

Fra den 25. maj 2018 gælder der nye regler for persondata på Datafordeleren. Sikkerheden skal være i orden - lige fra den dataansvarliges lagring af data og valg af krypteringsnøgle til sikring af, at data er valide.

Persondataforordningen afløser Databeskyttelsesdirektivet, og i højere grad end tidligere skal den dataansvarlige kunne dokumentere, at persondata bliver behandlet lovligt, rimeligt og på en gennemsigtig måde i forhold til de registrerede personer.

Hvis den dataansvarlige ikke har dokumenteret, at persondata bliver håndteret på en sikker måde, og at der er taget højde for de risici, der er i forbindelse med at bruge og opbevare persondata, overholder den dataansvarlige ikke de nye regler i Persondataforordningen.

Formålet med persondataforordningen er at beskytte fysiske personer i forbindelse med behandling af persondata og fri udveksling af persondata i EU.

Styrelsen for Dataforsyning og Effektivisering er i fuld gang med at implementere persondataforordningen og sikre, at persondata på Datafordeleren bliver behandlet i overensstemmelse med de nye regler. Styrelsen er databehandler i forhold til de registermyndigheder, som udstiller persondata på Datafordeleren.

Styrelsens opgaver í forhold til Datafordeleren er blandt andet:

  • Ajourføre datadistributionsaftalen og den tilknyttede databehandleraftale.
  • Udarbejde en fortegnelse med alle de behandlingsaktiviteter, som finder sted i forbindelse med at udvikle, etablere og drive Datafordeleren. Kravet udspringer af artikel 5 og 30 i persondataforordningen.
  • Gennemføre en Data Protection Impact Assessment (DPIA - konsekvensanalyse). Kravet følger af artikel 35. En DPIA er en vurdering af risici set fra den registreredes synspunkt, når en aktør behandler den registreredes persondata. Planen er at gennemføre en DPIA i november 2017 sammen med de registermyndigheder, som udstiller persondata på Datafordeleren. DPIA’en skal vise, om der er behov for at iværksætte yderligere initiativer, for eksempel yderligere sikkerhedstiltag.
  • Sikre en klar og dokumenteret ansvarsfordeling mellem alle de interessenter, som udvikler, driver og anvender Datafordeleren. Styrelsen skal blandt andet sikre aftaler om, hvordan tilsyn bliver gennemført med databehandleren.
  • Gennemgå sikkerhed på Datafordeleren med henblik på at sikre, at de tekniske og organisatoriske sikkerhedsforanstaltninger er tilstrækkelige. Styrelsen skal sikre, at der bliver udarbejdet dokumentation i forhold til de sikkerhedsvalg, som er truffet.
  • Gennemføre aktiviteter, som sikrer opmærksomhed i forhold til at dokumentere, at reglerne bliver overholdt.
  • Sikre procedurer for at håndtere de registreredes rettigheder og få dem implementeret, så rolle- og opgavefordelingen er klar.
  • Udarbejde en persondatapolitik, som bliver tilgængelig på Datafordeler.dk. Persondatapolitikken er en vigtig brik, når det kommer til at sikre gennemsigtighed i forhold til det offentliges arbejde med registrering, vedligeholdelse og udstilling af grunddata.

Læs mere om persondataforordningen på: http://www.dbreform.dk/