Persondata for begyndere

Siden godkendelsen af persondataforordningen er brugen af ordet ”persondata” eksploderet. Ordet har floreret i både nyhederne og på de sociale medier, men på dit arbejde har du nok også oplevet, at der stilles nye krav til, hvordan du behandler persondata. På samme tid har du også fået en masse e-mails fra firmaer, som oplyser dig om, hvordan de behandler din persondata. Alle disse ting kan være svære at forholde sig til, hvis man er lidt usikker på, hvad persondata egentlig er for noget. Derfor kommer her en lille gennemgang af hvad persondata egentlig er og en forklaring på, hvorfor det er vigtigt, at du kender til begrebet.

 

 

Persondata forklaret

 

Datatilsynet definerer persondata som:

 

”… Enhver form for information om en identificeret eller identificerbar fysisk person”[i]

 

Det vil altså sige, at hvis en oplysning siger noget om en person eller leder til en person, så er det persondata. Her er det vigtigt at huske, at det ikke kun gælder informationer i form af tekst, men også i form af videoer, lydoptagelser eller billeder af en person. For at pointere, hvor bredt begrebet persondata favner, får du her lige en liste over nogle af de informationer som er persondata:

 

  • Fornavn og efternavn

  • Køn

  • CPR-nr.

  • Adresse

  • Skostørrelse

  • E-mailadresse

  • Helbredsoplysninger

  • Religiøs overbevisning

  • Politisk overbevisning

  • Telefonnummer

  • Fødselsdato

  • IP-adresse

  • Interesser

  • Fysiske kendetegn

  • Bankoplysninger

  • Online adfærd

  • Og meget meget mere…

Persondata kan altså være utrolig mange forskellige ting. Dog er det ikke alle personoplysninger som prioriteres lige højt i forhold til IT-sikkerhed. Derfor skelner man mellem almindelige persondata og følsomme persondata.



Almindelige persondata vs. Følsomme persondata

 

Informationer som f.eks. navn, køn, adresse og e-mail hører ind under kategorien ”almindelig”, hvor informationer som f.eks. politisk eller religiøs overbevisning, oplysninger om etnisk baggrund eller tilhørsforhold til fagforening hører under kategorien ”følsom”. Hvilke informationer der hører til hvilken kategori, vil for nogen virke indlysende, men i nogle situationer kan det være ret svært at tyde. En sådan situation er i forhold til CPR-numre, som faktisk bliver kategoriseret som almindelige person data, selvom mange nok ville tro det var følsom persondata. Det viser sig dog, at lige præcis CPR-numre er underlagt nogle specifikke regler, som er lidt strammere end reglerne for almindelige persondata. Så man kan lige så godt behandle dem som følsomme persondata.

 

Når du beskæftiger dig med persondata, skal du være særligt opmærksom på, hvornår du bevæger dig fra almindelige til følsomme persondata. At skelne imellem de to kan være svært, men det er meget vigtigt, da der er meget strengere regler i den nye GDPR for behandlingen af den følsomme variant. Hvis du er i tvivl om hvilken kategori et stykke persondata tilhører, er det bedste at gøre, at snakke med den i din organisation, der er ansvarlig for området. I nogle tilfælde kræver den nye lov, GDPR, at firmaet udvælger en til at være ”DPO”, som også kaldes en databeskyttelsesrådgiver. Er der ikke en DPO i din virksomhed kan du spørge den IT-ansvarlige eller datakyndige kolleger.

 

 

Hvorfor er det vigtigt?

 

I forbindelse med den nye lovgivning er indsatsen for at fange forkert håndtering af persondata steget. Det samme er størrelsen på bøderne. Disse bøder kan være op imod 4% af virksomheden eller organisationens globale omsætning. Det skaber selvfølgelig et stort incitament til at have orden i sagerne, men bøder er ikke den eneste mulige konsekvens ved usikker behandling af persondata. Usikker behandling af persondata kan også føre til identitetstyveri, økonomisk svindel, brud på privatliv og et dårligt omdømme for din organisation eller virksomhed.

 

 

Hvad kan jeg gøre?

 

Det var et lille indblik i, hvorfor du skal være forsigtig, når du behandler persondata, og hvad det egentlig går ud på. Selvom det kan virke uoverskueligt at ændre på sine vaner og arbejdsrutiner kan man nå rigtig langt med tre simple huskeregler.

  1. Vær bevidst om, hvornår du behandler almindelige eller følsomme persondata. Når det er følsomme persondata, bør du være særligt opmærksom.

  2. Behandl persondata som noget, du låner. Pas på det, aflever det tilbage og lån det ikke ud. Det vil sige at man skal opbevare det sikkert, slette det når du er færdig og aldrig videregive det til andre.

  3. Er du i tvivl om, hvordan persondata skal håndteres i jeres organisation, så forhør dig hos den ansvarlige, f.eks. jeres DPO.


Hvis du følger disse huskeregler, er du godt på vej. Det er vigtigt at forstå, at når man vil løse udfordringer indenfor IT-sikkerhed er tekniske løsninger vigtige, men det er mindst ligeså vigtigt, hvordan medarbejderne bærer sig ad.


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Se her for mere information omkring vores awareness-træning.

 

[i] http://www.privacy-regulation.eu/da/4.htm

Comments are closed.