“Vi kan bruge standarden til at bygge bro mellem juristernes og teknikernes arbejde med informationssikkerheden. Vi får så at sige en certificeret compliance.” Sådan sagde Henning Mortensen om ISO 27000-standarderne på et webinar i PrivacyBoozt i december 2020. ...
Computerworld konference d. 25. november – spørgsmål & svar
Vi deltog i et webinar om GDPR hos Computerworld 25/11. Deltagerne stillede en del spørgsmål, og det var ikke dem alle sammen, der blev besvaret. Vi har besvaret en stor del af dem her. Hvordan vurderer du mulighederne for anvendelse af cloud-services, hvor data...
Alt hvad du skal vide om Schrems II
Det Europæiske Databeskyttelsesråd kom 11. november med en anbefaling i halen på Schrems II-dommen. Langt de fleste virksomheder og organisationer benytter i et eller andet omfang amerikanske cloud-løsninger, og det er blandt andet det, anbefalingen handler om. Hos...
Notat om Schrems II
EDPBs anbefalinger bl.a. om supplerende foranstaltninger til standardkontrakterne ved tredjelandsoverførsler i lyset af Schrems II-dommen Denne artikel har til formål at gennemgå de trin, som dataeksportører skal igennem, når de eksporterer personoplysninger ud af EU...
Er jeg ansvarlig for det, du gør?
Når man beder om oplysninger fra en borger, kunde eller lignende, så er man dataansvarlig. I visse sammenhænge betyder det, at man har ansvaret for at stille krypteringsværktøjer til rådighed. Det er jurist Brian Nygaard Oswalds konklusion på en nyhed fra...
GDPR: Fem anbefalede redskaber til GDPR-arbejdet
De fleste starter nok deres GDPR-arbejde med nogle løst strukturerede Excel-filer. Men når man skal i gang for alvor med at arbejde struktureret med GDPR, vil der hurtigt være behov for at anvende professionelle værktøjer til sit arbejde. I denne artikel gives nogle...
GDPR: Hvornår skal man slette personoplysninger?
Alt for mange personoplysninger ligger og roder rundt i gamle applikationer og på gamle diske rundt omkring. Det er ulovligt, for man må kun behandle – herunder lagre – personoplysninger, så længe man har et formål med det. I denne artikel vil vi berøre, hvornår man...
GDPR: Hvad er sammenhængen mellem dataetik og persondataretten?
Dataetik er et begreb, der har fået meget offentlig omtale og politisk opmærksomhed i de senere år. Begrebet er imidlertid en noget fluffy størrelse, og det er uklart, hvilke forpligtigelser det implicerer for den dataansvarlige, ligesom det er uklart, hvordan...
GDPR: Brug pseudonymisering og anonymisering til at skabe GDPR-compliance
Pseudonymisering og anonymisering er vigtige teknikker til at forbedre sikkerheden for de registrerede. Der har siden tidernes morgen være fokus på anonymisering, hvorimod pseudonymisering er et nyere begreb. I denne artikel vil vi se lidt på, hvordan pseudonymisering...
GDPR: Hvad er databeskyttelse gennem design?
Persondataforordningen introducerer som noget nyt, at de dataansvarlige skal implementere databeskyttelse gennem design og standardindstillinger. I denne artikel vil vi se på, hvad dette krav betyder i praksis. Hvad er databeskyttelse gennem design? Forestil dig at du...
GDPR: Hvordan kontrollerer man sine databehandlere?
Når forordningen skal efterleves, er det helt centralt, at organisationen formår at stille de rette krav til sine samarbejdspartnere – særligt databehandlerne. Men det er ikke gjort med krav. Der er en forventning om, at der følges op på kravene med kontroller,...
GDPR: Sådan identificerer man alle sine systemer og leverandører
Det er vanskeligt at skabe sig et overblik over, hvilke systemer en organisation egentlig bruger. Når man begynder at kortlægge, er det ofte som at åbne Pandoras æske, fordi det viser sig, at der bruges langt flere systemer, end man umiddelbart tror. I denne artikel...
GDPR: System- versus proceskortlægning
GDPR stiller en række krav til den dataansvarliges dokumentation af behandling af personoplysninger. Det er helt centralt, at man er i stand til at præsentere en fyldestgørende kortlægning, hvis Datatilsynet skulle komme på besøg. Vi må også forvente, at...
GDPR: Hvordan sælger man databeskyttelse til ledelsen?
Denne vejledning er til dig, som har ansvaret for beskyttelse/eller it-sikkerheden i din organisation. Du er sikkert selv velkendt med de trusler og øvrige udfordringer organisationen står overfor. Du har også en forståelse for og fokus på, hvorfor du synes at det er...
GDPR: Hvornår skal man lave en konsekvensanalyse?
Persondataforordningen kræver som noget nyt i den persondataretlige verden, at der under visse omstændigheder skal udarbejdes egentlige konsekvensanalyser. En konsekvensanalyse er en vurdering af de risici, som en given behandling måtte have for de registrerede. Det...
GDPR: Hvordan laver man en risikovurdering?
Med persondataforordningen er der introduceret et krav om, at den dataansvarlige skal lave en risikovurdering og på den baggrund vælge hvilke sikkerhedsforanstaltninger, som skal implementeres. I denne artikel vil vi se på persondataforordningens krav til...
GDPR: Sådan organiserer du GDPR arbejdet i 9 trin
Persondataforordningen kan være en ordentlig mundfuld at sluge. Derfor er det vigtigt, at du deler arbejdsopgaven op i forskellige faser og tager dem en ad gangen. OBS: Hvis du aldrig har arbejdet med GDPR tidligere, så bør du læse denne artikel først: Hvad er...
Alt du bør vide om personoplysninger
Persondatabegrebet er meget bredt. I loven hedder det, at en personoplysning er ”enhver form for information om en identificeret eller identificerbar person”. Alle informationer, som kan bruges til at nogen er i stand til at udpege personen, er altså personoplysninger...