Dette spørger Datatilsynet om på tilsyn

Datatilsynet har gennemgået de første tilsyn hos private og offentlige aktører efter persondataforordningen trådte i kraft. Datatilsynet har været så venlige at offentliggøre deres spørgeskemaer, så vi kan få et indblik i, hvad der spørges til, og ikke mindst hvor grundigt Datatilsynet går til værks.

Der er ikke nogen tvivl om, at de nye tilsyn vidner om et Datatilsyn, der går meget grundigt til værks! Flere ting i spørgeskemaerne er værd at notere sig:

For det første er der fokus på systemer. Virksomheder, der har kortlagt deres behandlinger efter processer fremfor systemer, risikerer, ikke at have alle systemer med i deres kortlægning, hvis detaljeringsgraden for processerne ikke er detaljeret nok. Der er derfor en risiko for, at der udestår en stor opgave i forbindelse med at besvare disse spørgsmål.

For det andet er det vigtigt at lægge mærke til detaljeringsgraden. Tidligere fulgte tilsyn – hvis vi sætter det lidt på spidsen – en standardskabelon, som var bredt kendt. Der var således rimelige muligheder for at navigere i et tilsyn. Nu er detaljeringsgraden langt dybere, og der spørges ind til forhold, som mange organisationer næppe har helt styr på endnu – f.eks. sletterutiner relateret til genindlæsning af backup. Datatilsynet har ikke selv været ude og vejlede om, hvad de ønsker der lægges vægt på i sletteprojekter, så på den måde skal de dataansvarlige virkelig have lavet en grundig selvstændig vurdering, når de har lavet deres slettepolitik.

For det tredje har spørgsmålene en karakter, hvor man må forvente, at mange mindre organisationer vil få svært ved at klare sig uden at trække på eksterne rådgivere. Der kan derfor være en vis økonomisk byrde forbundet med at løfte et besøg fra Datatilsynet.

Læs også: Kom godt i gang med din GDPR dokumentation – på egen hånd

Endelig er der også i det offentliggjorte tilsyn en række spørgsmål af teknisk karakter. Det har der også været eksempler på ved tidligere tilsyn, men vægten er nok tungere end tidligere og ligger formodentlig udenfor, hvad mange organisationers DPO (databeskyttelsesrådgiver) eller den overordnede ansvarlige for databeskyttelse i virksomheden er i stand til at svare på. De organisationer, der vil klare sig godt i denne relation, er dem, som har skabt et godt samarbejde mellem disse og den it-sikkerhedsansvarlige.

Der er ikke nogen af spørgsmålene, der som sådan kan siges at falde udenfor lovgivningen, og spørgsmålene er derfor som sådan rimelige. Men de fordrer at modtagerne af spørgsmålene har en stor modenhed for at kunne løfte den dokumentationsopgave, som der skal til for at kunne besvare disse spørgsmål.

Du kan læse Datatilsynets spørgeskemaer her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/okt/hvad-spoerger-datatilsynet-om-paa-tilsyn/

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin