GDPR

Nyhed: MARC Flekslønsberegner

GDPR – datasikkerhed baner vej for tryghed

Den 25. maj trådte persondataforordningen (GDPR) i kraft – og spørgsmålet om datasikkerhed er dermed sat i højsæde i landets kommuner.

Eftersom GDPR er trådt i kraft, følger Dataproces’ jurister udviklingen nøje – og selvom der endnu er mange uklarheder, er den overordnede vurdering, at kommunerne er kommet godt fra start. Jurist Bettina Pedersen fortæller:

”GDPR er på mange måder en cementering af den lovgivning, som danske kommuner allerede følger. GDPR giver selvfølgelig en skærpelse – og det bliver spændende at følge Datatilsynets håndhævelse af de nye sanktionsmuligheder.”

Det er unægtelig en stor opgave kommunen står over for; fra pædagogen i børnehaven, over sagsbehandleren i Borgerservice, til spørgsmål om ledelse og forankring af arbejdsgange og kulturer. Bettina Pedersen giver her sit besyv på de tre væsentligste emner i GDPR:

”Konsekvenserne af GDPR kan opsummeres i tre emner; databehandler og databehandleraftaler, hvor KL og KOMBIT har lavet nogle udmærkede anvisninger og skabeloner, som også Dataproces følger; Personoplysninger, som stiller store krav til den kommunale journaliseringspraksis og it-infrastruktur – hvilket også gør sig gældende for et tredje vigtigt forhold; registreredes ret – et emne Dataproces genkender fra Min Sag©, og som vi kommer til at arbejde videre med i Min Sags regi, om ikke andet, så når SAPA (red: *) kommer på banen.”

Læs mere om de tre væsentligste emner i GDPR her:

Databehandler:

En databehandler skal føre fortegnelser over behandlingsaktiviteter og underrette ved sikkerhedsbrister. Der er kommet flere krav til en databehandleraftale samt betingelser for, hvornår en databehandler må benytte underdatabehandlere. En databehandler kan ifalde erstatningsansvar over for registrerede personer.

Personoplysninger:

En behandling af personoplysninger skal være lovlig, rimelig og gennemsigtig, samt indsamles til udtrykkeligt angivne og saglige formål. Personoplysninger må ikke viderebehandles på en måde, der er uforeneligt med det oprindelige formål og oplysningerne skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, de er indsamlet til; altså et krav om proportionalitet. Personoplysningerne skal være opbevaret på en måde, så det ikke er muligt at identificere de registrerede i et længere tidsrum end det er nødvendigt, for at behandlingen kan finde sted. Derudover skal personoplysningerne behandles på en måde, der sikrer sikkerhed mod uautoriseret eller ulovlig brug, hændeligt tab, tilintetgørelse eller beskadigelse.

Registreredes ret:

De registrerede har fået udspecificeret sine rettigheder i Persondataforordningen. Registrerede har fået ret til indsigt i, hvilke persondata der behandles og ret til at få oplysningerne berigtiget, hvis de ikke var korrekte tidligere. Der er ret til at få slettet oplysningerne, ret til dataportabilitet, ret til begrænsning af behandlingen samt at gøre indsigelse mod behandlingen. Den registrerede har ligeledes ret til ikke at være genstand for automatiske individuelle afgørelser, herunder profilering.

GDPR og Dataproces

Også i Dataproces er der blevet arbejdet intensivt med implementering af GDPR – i tillæg til det arbejde vi i forvejen brugte på at sikre datasikkerheden. For Dataproces er datasikkerhed mere end et rent teknisk anliggende. Det er et fundamentalt og prioriteret fokusområde på tværs at organisationen. Vores samarbejde med landets kommuner er bundet op på vores rolle som databehandler.

”Dataproces har altid fokuseret på datasikkerhed, men GDPR gav en anledning til at opdatere og bestyrke vores allerede fungerende procedurer.”

forklarer Bettina Pedersen, jurist ved Dataproces.

GDPR sætter spot på to af Dataproces’ løsninger:

Sikkerhedsbekendtgørelsen foreskrev tidligere autorisa¬tionskontrol hvert halve år. Med persondataforordningen (GDPR) må det forventes at sikkerhedskravene ikke er blevet mindre, ligesom sanktionerne for manglende autorisationskontrol er skærpet – betydeligt. Desværre er kontroller af systemadgange og brugerprofi¬ler fortsat en tung og tidskrævende opgave, og arbejdsgangen er overvejende manuel. Til at lette og effektivise¬re arbejdet med de obligatoriske autorisationskontroller har Dataproces udviklet MARC Autorisationskontrol – en automati-serende webløsning baseret på softwarerobotten MARC (Municipal Automatic Robot Caseworker). Løsningen gør det både lettere og hurtigere at udføre autorisationskontrol – og samtidig sikres en fyldestgørende dokumentation af hele processen.

Min Sag© – effektiv digital aktindsigt:

Min Sag understøtter borgernes ret til adgang til egne data ved at digitalisere og dermed effektivisere hele processen omkring aktindsigt. Det er naturligvis stadig kommunen, der agerer myndighed og beslutningstager. Borgernes ret til adgang er et af de væsentligste emner i GDPR – og Dataproces vil senere på året indlede undersøgelse af, hvordan Min Sag kan udvides til også at håndtere anmodninger om registerindsigt, jf. registreredes ret til at få indsigt i behandlede persondata.

* SAPA: Sags- og Partsoverblik