Gemmer eller videreformidler du personhenførbare data, så er du databehandler og derfor omfattet af den nye persondataforordning. Vi har listet 5 ting, som databehandleren skal være opmærksom på pr. 25. maj 2018, hvor den nye lov træder i kraft.
#1: Placering af data
Placering af eller afsendelse af personhenførbare data pr. mail er NO-GO! Persondata skal placeres ét sikkert sted, og data skal faktisk skal være krypteret eller pseudonymiseret, i henhold til “Privacy by design”.
Data skal være placeret hos en udbyder, som enten er placeret i EU eller et anden sikkert land. Hvis det f.eks. ligger hos en udbyder i USA, som er et usikkert land, så skal denne udbyder være listet på “Privacy Shield” listen.
#2: Samtykke fra brugerne
Hver gang du gemmer personhenførebare data, skal du indhente samtykke fra brugeren herom. I din samtykkeerklæring skal du oplyse, hvilken persondata du indsamler, hvordan du som annoncør vil bruge den og hvor længe denne data vil blive gemt. Vil du videregive persondata til tredje part, skal du navngive samtlige partnere og informere brugerne om, hvordan de kan trække deres accept tilbage.
#3: Kryptering af data
De data du indsamler skal gemmes efter “privacy-by-design”, så disse data pseudonymiseres eller krypteres, når de bliver gemt. Det vil i den forbindelse være en god idé at have en “Content Security Policy”, så du enten hasher eller noncer de scripts, som din hjemmeside skal bruge. Således er dine input forms mere sikre mod misbrug.
“Any information related to a natural person or ‘Data Subject’, that can be used to directly or indirectly identify the person constitutes as personal data.”
#4: Konsekvensanalyse
Hvis du udfører et stykke arbejde for en kunde, hvor kunden er den dataansvarlige, skal du udarbejde en konsekvensanalyse af de risici, der kan være forbundet med en behandling af personhenførbare data.
Hvad hvis man får en besked fra en bruger, der gerne vil vide, hvilke personoplysninger, man har liggende om dem?
#5: I tilfælde af databrud
Hvis der mod forventning sker et databrud, hvor hackere får adgang til personhenførbare data, skal du informere datatilsynet indenfor 72 timer fra det tidspunkt, du bliver opmærksom på databruddet.