GDPR og FileMaker – Persondatalovgivningen

GDPR og FileMaker, ´hvad betyder General Data Protection Regulation,  – den nye persondatalovgivning for dig og din virksomhed? Og for din FileMaker løsning? Hvad er det, der skal indtænkes, og hvad skal måske ændres? Hvordan holder vi os på dydens smalle sti?

Af Carsten Levin

Hvordan skal jeg prøve at få jer til at læse om dette, på sin vis uhyrligt kedelige område … som er så enormt vigtigt for os alle sammen. Jeg kan selvfølgelig sige, at det skal I ifølge loven. Men alternativt kan jeg prøve at samle det væsentligste her og slutte med nogle retningslinier og tiltag, vi og I skal gennemføre i løbet af foråret … og så prøve at gøre det både rimeligt kort og måske ikke for tørt.

GDPR og Munch
Hvis Munch havde kendt til GDPR

Er CODEO forberedt på GDPR,
og kan vi tage ansvaret for, at vores kunder er indenfor lovens grænser?
Og skal CODEO det?

Det er blandt de interessante spørgsmål, som vi nu er nødt til at kunne besvare. Jo, vi er selvfølgelig forberedt, og som lovkomplekset udfoldes, er svaret, at vi har et ansvar for overholdelse af lovgivningen – for den samlede løsning. Vi kan ikke henholde os til, at det er kundens eller en anden parts ansvar.

I de fleste tilfælde er det vores kunde, der er dataansvarlig. Hvis virksomheden har sin egen juridiske afdeling, er det sandsynligt, at man her vælger at udarbejde den aftale, der skal være mellem os. En række af vores kunder har ikke egne juridiske afdelinger. Her aftaler vi hvem af os, der udarbejder den såkaldte databehandleraftale.

Roller?

Kaptajn, reder, ingeniør, maskinmester, styrmand – hvem har ansvaret for hvad på fartøjet og omkring det?

På samme måde skal vi opstille det omkring virksomhedsløsninger og roller.

Det er ikke nødvendigt at male fanden på væggen, og håndteret rigtigt behøver det ikke være særlig kompliceret.

Umiddelbart kan I og vi jo tænke følgende væsentlige roller omkring jeres løsning:

  • Systemets ejer = dem der ejer/bruger systemet i dagligdagen, typisk din virksomhed = dataansvarlig
  • Brugere = dem der bruger løsningen hos virksomheden, typisk medarbejderne. Men det kan også være kunder, leverandører og partnere, der har adgang til dele af løsningen. Under dataansvarliges ansvar … med regler/adfærdskodex for hvad man må, hvad man skal, hvordan
  • Hosting = det sted jeres servere står, evt. hos jer selv eller hos en hosting virksomhed = databehandler
  • Udvikler = dem der står for udvikling af jeres løsning, evt. jer selv eller et firma som fx CODEO  = databehandler

Alle ovenstående skal indgå, for at man kan være sikker på, at man hele vejen igennem holder sig på dydens smalle sti.

Men dertil er det vigtigt, at ovenstående ikke svarer helt til lovgivningens definition af roller. Her arbejder man kun med dataansvarlig og databehandler samt underdatabehandler.

Dilbert og GDPR
Et er sikkert: Denne indfaldsvinkel er ikke vejen frem

Dataansvarlig – databehandler, hvem er hvem?

Ifølge datatilsynets beskrivelse er det dataansvarlig, der er ansvarlig for overholdelse af persondataloven. Definitionen af dataansvarlig er ifølge persondatalovens § 3, nr. 4 således:

“I persondatalovens § 3, nr. 4, defineres “den dataansvarlige” som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.”

“Af definitionen følger det, at den dataansvarlige er den, der afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Det afgørende er således, hvem der juridisk og/eller faktisk afgør, hvordan personoplysninger skal behandles (hvem har ”ejerskabet” til oplysningerne).”
Og: “Den dataansvarlige kan endvidere være en arbejdsgiver, der behandler personoplysninger om sine ansatte og sine kunder.”

Og det er jo, som sådan, beroligende for CODEO. For det er jo vores kunder der, uanset hvem der ejer kildekoden, har den fulde ret til brugen af løsningen. Og de bestemmer alt ned i den mindste detalje om, hvordan løsningen udvikles og bruges. Isoleret set kunne vi jo dermed sige: Det er jeres problem som bruger af en FileMaker løsning. Men så er der lige begrebet “Databehandler”.

En kort definition af databehandler ser således ud, igen fra datatilsynets beskrivelse:

“I praksis kan en databehandler f.eks. være en virksomhed, som varetager en anden virksomhed eller en myndigheds IT-systemer. Endvidere kan en databehandler være en udbyder af et webhotel, der hoster hjemmesider for andre, ligesom en databehandler kan være et inkassobureau, som overlades oplysninger fra en dataansvarlig med henblik på inddrivelse af gæld for den dataansvarlige.”

Roller ift. lovgivningens definitioner?

Her er en lidt forsimplet opdeling. De blå er med meget stor sikkerhed indenfor virksomheden og dermed indenfor den dataansvarliges område.

Hvis din virksomhed, som har den enkelte løsning, selv hoster og selv udvikler alt … så har I hele ansvaret både som dataansvarlig og databehandler.

Hvis I har serveren stående et andet sted, eller hvis I bruger eksterne udviklere, så har I en anden en eller flere andre parter som databehandler(e) og skal have en databehandleraftale.

Roller
De blå områder er dem kunden i de fleste tilfælde selv har ansvaret for. De grønne kan ligge hos kunden eller hos en ekstern databehandler.

Der er nogen, der forstår det, som om det er problematisk at have eksterne parter, fordi man så skal have en databehandleraftale. Det er selvfølgelig en misforståelse, for det skal håndteres akkurat lige så veldokumenteret og styret, hvis man gør det selv. Med en ekstern part kan man være heldig at denne har styr på krav og lovgivning og kan være med til at opstille en aftale, der holder for begge parter.

Databehandleraftale

Mellem parterne, dataansvarlig og databehandler skal der være en databehandlingsaftale. Den kan man læse mere om her, igen hos datatilsynet. Aftalen skal bl.a. opfylde følgende:

  • Det skal fremgå af aftalen, at databehandleren alene handler efter instruks fra den dataansvarlige, og at databehandleren skal træffe forskellige tekniske og organisatoriske sikkerhedsforanstaltninger. Disse sikkerhedsforanstaltninger skal sikre mod, at oplysningerne

    • hændeligt eller ulovligt tilintetgøres, fortabes eller forringes,
    • kommer til uvedkommendes kendskab eller misbruges, eller
    • i øvrigt behandles i strid med lov om behandling af personoplysninger.

Dertil skal det detaljeret beskrives, hvilke former for data databehandler, fx CODEO, håndterer for kunden, har adgang til o.s.v. Og hvor/hvordan databehandler håndterer dette.

Her er et par eksempler på aftaler, men det vil sandsynligvis være en god idé at få en kompetent jurist til at gennemgå og opstille en udgave for jeres virksomhed!

Hvad gør CODEO?

Her i vinteren har vi d. 7. februar afholdt et seminar med deltagelse af en række af vores kunder og partnere, hvor junior Verreijt-Nielsen fra Junior i Århus trak det store læs og gennemgik de konkrete overvejelser i forhold til GDPR og FileMaker løsninger.

Dertil har vi selvfølgelig sat os ind i lovgivningen og gjort os klar til at gennemgå konsekvenserne og eventuelt nødvendige tiltag med vores kunder. Uanset om det er fordi, vi oprindelig har udført løsningen, hoster den eller videreudvikler på den.

Vi fortsætter denne proces og holder jer orienteret frem mod maj måned.

Udarbejdelse af databehandlingsaftalen

Vi har vores egen udgave af en databehandleraftale klar, som vi udarbejder for hver eneste af vores aktuelle kunder, og hvor vi på nogen måde har adgang til kundens løsninger, servere eller på anden måde har adgang til data.

Denne aftale kan I vælge at gennemarbejde med os. Eller I kan som kunde vælge at få udarbejdet jeres egen udgave mellem os og jer, fx med medvirken fra jeres egen jurist.

Dertil har vi indarbejdet GDPR i vores forretningsbetingelser. Fra nu af betinger os, at alle vores kundeforhold skal overholde den aktuelle GDPR/Persondatalovgivning.

En anden vinkel – hvis’ ansvar er det?

Her lidt inspiration til hvordan I kan tænke sagen internt i jeres organisation.

Der er rigtig mange virksomheder, der opfatter GDPR som et IT spørgsmål. De overdrager det til IT afdelingen at håndtere dette voldsomme område. Men hører GDPR virkelig under IT?

Christian Bonde Wejergang
I “Få nu GDPR og datasikkerhed væk fra IT-afdelingen” giver Christian Bonde Wejergang en ret så anderledes vinkel på, hvor ansvaret skal ligge.

Christian Bonde Wejergang forklarer i artiklen der er publiceret på Erhvervsakademiet Lillebælts hjemmeside, at GDPR og datasikkerhed fremfor under IT-afdelingen bør ligge i en særlig funktion direkte under direktionen. Det er helt sikkert et synspunkt, der kan give anledning til diskussion. Men der er ingen tvivl om, at det er nødvendigt at diskutere, fremfor blot på rygmarvsrefleks at lægge ansvaret fra sig i IT.

Det er heller ikke til at komme udenom, at Christian Bonde Wejergangs indlæg retter sig mod større virksomheder, der både har en stærk IT-afdeling og kræfter til at oprette yderligere en datasikkerheds og compliance afdeling. Så hvor interessant hans vinkel end er, så er hans anvisning af organisatorisk løsning måske ikke relevant for din virksomhed. Men de bagvedliggende tanker, om hvad GDPR handler om, er relevant for selv den mindste virksomhed. For det er ikke en IT-teknisk problematik. Det er et spørgsmål om forretningsregler i forhold til overholdelse af lovgivningen. Både reglerne om beskyttelse af persondata og reglerne om hvad man faktisk skal bevare og kunne dokumentere.

Og for at undgå misforståelser, dette indskud fra Christian Bonde Wejergang ændrer intet på, at reglerne skal overholdes, at der skal være en databehandleraftale, og hvad den skal rumme. Det er blot en diskussion af, hvorvidt det er en IT opgave eller en ledelsesopgave.

Her taler vi om helt konkrete beslutninger: Hvad gemmer vi, og hvad gemmer vi ikke. Og som afsluttende bemærkning: Det skal dokumenteres.