Spring til indholdet

Udgivet 08/01/2018

GDPR – EU’s persondataforordning

Rasmus Nielsen

Placeholder billede til bloggen

GDPR – Hvad er det, og hvad betyder det for mig?

Det har været på manges læber og til stor debat. Nu sker det lige om lidt. EU’s nye persondataforordning, som bærer navnet GDPR,  træder i kraft den 25. maj 2018. Forordningen indeholder et væld af regler for både dig og os, så persondata bliver mere sikre på internettet og i den “virkelige verden”.

Mange spørgsmål kan hurtigt opstå: Hvad er formålet? Hvad betyder det for mig, der bruger onlineservices til opbevaring af persondata? Hvad skal jeg helt konkret sørge for? Hvor står Dinero i alt det her?

De spørgsmål samt mange andre vil jeg forsøge at besvare i dette blogindlæg. Jeg lover ikke på forhånd, at det bliver spændende læsning. Det er endda muligvis ikke noget, du behøver forholde dig til i særlig høj grad, hvis du har en lille virksomhed. Men vil du gerne vide mere om emnet, får du her mulighed for at dykke lidt dybere ned i det 🙂

Hvad er GDPR?

The General Data Protection Regulation eller GDPR er det formelle navn fra EU på det, som vi på dansk kalder en persondataforordning. Forordningen blev vedtaget i april 2016, hvor de første spadestik også allerede blev taget. Det overordnede formål med den nye lovgivning er at sikre privatpersoners ret til ejerskab over deres egen data. Mange har talt om Facebook og Google som de to store hovedaktører, men det gælder faktisk al persondata, også den der opbevares i forbindelse med ansættelser, kunder m.v.

For at forstå GDPR bliver vi først nødt til at stifte bekendtskab med et par af de centrale begreber i forordningen. De mest centrale er: Data Subject, Data Controller og Data Processor. Dem kan du læse mere om her:

Et Data Subject er dig, mig og alle andre personer, som har data liggende et sted. Når jeg bliver ansat, får jeg en kontrakt, hvor mit navn, min adresse m.v. står i. Jeg bliver oprettet i et lønsystem, hvor min personlige information står, og i en lang række andre systemer.

En kunde, vi sælger til, opbevarer vi typisk også informationer om. En e-mail, et navn og en adresse, måske indsamler vi data på andre måder om vores kunders forbrugsvaner på vores hjemmeside, hvis vi har sådan en, eller er du fx kiropraktor eller anden behandler, har du måske en logbog over dine kunders skavanker.

Når vi taler persondata, er der desuden to underkategorier: Den ene er personhenførbare data, som navn, adresse, email, IP-adresse og lignende. Den anden kategori er personfølsomme data, som gælder fx sygehistorik, seksuel orientering og straffeattest.

Som navnet antyder, skal vi være mere påpasselige med den personfølsomme data end med personhenførbare data, men begge dele ligger altså under GDPR’s beskyttende frakke.

I Dinero opbevarer vi blandt andet information om dig som privatperson samt de kunder, du indtaster i systemet. Hvem, der har ansvaret for den data, bliver udpenslet i vores næste to begreber.

Datacontroller er den, der styrer persondataen og dermed bestemmer formålet for opbevaringen og behandlingen. I Dinero bliver du altså controller over dine kunders data. Du lægger dataen ind i Dinero og bestemmer og giver din accept over, hvad den skal bruges til. Datacontrolleren har også ansvaret for dataen på vegne af personen.

Dinero er foruden ovenstående også datacontroller over de data, du indtaster i systemet om dig selv og de spor, du efterlader på vores hjemmeside. Det er altså data, vi bestemmer formålet med, men hvor du skal give din accept, ligesom det sker i dag igennem betingelserne. Dette stilles der dog nye krav til, som jeg vil beskrive længere nede.

Dataprocessoren behandler persondata på vegne af controlleren. De udfører altså de handlinger, som controlleren har givet accept til, og skal agere ud fra controllerens instruktioner. I Dinero-regi bliver vi processor over dine kunders persondata, som du indtaster i systemet. Samtidig sender vi data videre til vores databehandlere. Vi skal dermed acceptere lignende vilkår hos dem, som du skal hos os, for at sikre, at reglerne overholdes gennem hele kæden.

Foruden de tre centrale begreber opstiller GDPR også nye krav til opbevaring og behandling af persondata. Tidligere har særligt store IT-virksomheder opbevaret al den data, de kunne komme i nærheden af. Data er viden, og viden er mange penge værd. Det bliver ikke så simpelt at gøre fremadrettet.

Hvilke krav opstiller GDPR?

En central ændring bliver, at du og dine kunder skal give deres utvetydige accept af, at deres persondata indsamles og behandles. I GDPR kalder vi det Consent eller samtykke. GDPR beskriver, at den nye accept ikke må gemmes væk i mange siders betingelser, og det være letforståeligt og letlæseligt, præcist hvad der gives samtykke til.

Disse betingelser skal beskrive et formål med opbevaring og behandling af din persondata. Formål kan spænde vidt, men når formålet ophører, ophører dit samtykke altså ligeledes. Din persondata skal slettes, anonymiseres eller lignende, så det ikke kan ledes tilbage til dig. Det betyder derfor, at man ikke uden hæmning kan opbevare data til al evighed, som man tidligere har kunnet. Foruden ophør af formål skal persondata ligeledes bortskaffes eller anonymiseres således, at det ikke kan spores tilbage til dig, hvis du beder om det. Samtidigt skal du inden dette have mulighed for at få udleveret den data, der er indsamlet om dig, hvis du ønsker det. Således får du mulighed for at tage stilling til, om formål overholdes, og om du gerne vil have det slettet.

Hvad betyder det for mig?

Her i Dinero arbejder vi i øjeblikket hårdt på at komme til at overholde alle de rammer, som GDPR opstiller. Vi er tidligt ude, fordi vi gerne vil være klar i god tid, inden GDPR træder i kraft. Vi har desuden den ressource, der hedder Visma i Norge. De blander sig ikke meget i Dinero til dagligt, men når det kommer til en regulation som GDPR, tilbyder de hjælp og ressourcer, der hjælper os og dermed i sidste ende dig på vej. Her vil mange mindre virksomheder kun have sig selv at læne sig op ad og eventuelt eksterne konsulenter.

Det hele virker måske stort og uoverskueligt, men indlæg som dette giver forhåbentlig ro i sindet. I de tidligere afsnit stiftede vi bekendtskab med, hvad GDPR er, hvad det betyder og de centrale begreber. Nu vil vi se på, hvad det så reelt betyder i praksis.

DPA – Data Processor Agreement

En Data Processor Agreement (DPA) bliver det helt centrale for dig, andre virksomheder og i det hele taget alle, der kontrollerer data. Vi kalder det en Databehandleraftale, og formålet er at have en aftale med sin processor om, præcis hvilke persondata du videregiver, og hvad den kan og må bruges til. Det bliver en form for erhvervsbetingelser for at videregive persondata til en tredjepart.

Det er naturligt, at virksomheder som Dinero ikke er i stand til at lave en individuel aftale med alle 150.000 firmaer, der er oprettet i Dinero. DPA’en bliver derfor en standardaftale, som du som bruger modtager og giver din accept til – hvis du altså ønsker dette. Når DPA’en er på plads, har du altså en aftale med os om, hvordan vi behandler dine kunders data som din dataprocessor. Herunder hvad vi bruger den til, og hvilket formål det har. Aftalen er ganske central for dig som erhvervsdrivende, og arbejder du i flere programmer, hvor du indtaster oplysninger om medarbejdere, kunder og lignende, er det vigtigt, at du indhenter en sådan DPA fra dem alle.

Det er din garanti for, at din leverandør overholder kravene opstillet i GDPR, og for at de selv har hentet en DPA hos deres underleverandører. Med den på plads er der styr på, at dine kunders data kan slettes, anonymiseres og hentes ud af Dinero til dine kunder, hvis du ønsker det. Du overholder altså med en sådan aftale kravene, der er opstillet i GDPR.

Vi forventer at have vores DPA klar i starten af 2. kvartal 2018, så du også i god tid inden 25. maj kan have ro i sindet omkring din brug af Dinero.

Betingelser

Der vil i løbet af foråret inden den 25. maj desuden komme nye og opdaterede betingelser til Dinero. Betingelserne vil indeholde afsnit om de oplysninger, du indtaster om dig selv i systemet.

Det er ikke mange informationer, vi opbevarer om dig, men nogle ting kan vi ikke komme udenom. En IP-adresse, navn, adresse, hvordan du klikker rundt i programmet og lignende. Har du hobbyvirksomhed eller PMV uden CVR-nummer, er det også muligt, at dit CPR-nummer er indtastet.

Alt dette ejer du, og du har krav på at få slettet, hentet ud eller anonymiseret. Dette kommer der nye betingelser til, hvor du skal give din accept, og hvor vores formål med indsamling af din data bliver angivet.

Fx navn og adresse er relevante for at skrive en faktura. Information om hvor du klikker i programmet bruger vi til at optimere siderne, og information om dine klik i hjælpeartikler bruger vi til at give dig de bedst mulige forslag, når du søger i vores hjælpecenter.

Konklusion

Jeg ved godt, at ovenstående kan være en stor mundfuld. Dette er endda kun toppen af det isbjerg, der hedder GDPR. Det er dog også det, som jeg ser som det mest centrale at forholde sig til på nuværende tidspunkt.

Har du givet samtykke til de nye betingelser og en DPA fra Dinero inden 25. maj, kan du altså roligt og trygt fortsættedit samarbejde og det samme gælder for øvrigt også andre underleverandører, du måtte have, hvor du indtaster persondata.

Jeg vil løbende holde dig opdateret på udviklingen i forhold til GDPR og din brug af Dinero via Facebook, blogindlæg m.v. Kommentarer er desuden velkommen nedenfor, og kommer der mange af de samme spørgsmål, vil indlægget løbende blive opdateret med en FAQ.

Tak, fordi du læste med 🙂


Så mange har tilmeldt sig

0

Vidste du, at der er sendt 0 fakturaer fra Dinero?