25. maj træder skrappere krav til håndtering af persondata i kraft. Det giver travlhed i virksomhederne, fordi sanktionerne er skruet i vejret. Bøder på op til fire procent af virksomhedens globale omsætning er blandt Datatilsynets nye redskaber. Direktør Cristina Gulisano fortæller her, hvordan tilsynet går til den nye opgave.

Hvad er meningen med de store bøder?

De skal være effektive, stå i rimeligt forhold til overtrædelsen og virke afskrækkende – eller sagt på en anden måde: sikre, at virksomheder tager databeskyttelse mere seriøst, end de hidtil har gjort.

Hvordan vurderer I, hvem der skal have bøder?

I princippet kan alt udløse bødestraf. Men nu er bøderne ikke det eneste redskab, vi får – der er andre i værktøjskassen også.

Bødestørrelsen vil nok særlig i starten komme til at variere meget. Vi skal også vurdere hvert tilfælde nærmere – vi vil kigge på, om noget trækker i en skærpende retning, men selvfølgelig også om der er noget, der er formildende. Noget der for eksempel vil trække opad – det kunne være, hvis man har brudt reglerne med åbne øjne – måske endda for at spare penge.

Hvordan har I tænkt jer at håndhæve de nye regler?

– Vi vil behandle klagesager, men vi kommer også uopfordret på besøg hos virksomheder og andre dataansvarlige for at få et overblik over, hvor skoen trykker.

– Vi har ansat flere medarbejdere – og mangler endnu et par. Vi har altid haft en overvægt af jurister, men nu begynder vi at rekruttere flere it-folk. Det er ud fra en filosofi om, at databeskyttelse er en disciplin i lige dele jura og it.

Hvem besøger I først?

– Vi har som landet ligger lige nu ikke nogle særlige brancher eller virksomheder i kikkerten. Udvælgelsen kan ske ud fra mange forskellige kriterier: Hvor sensitive og hvor store mængder data, de behandler. Hvis de bruger ny teknologi, kan det også give mening at kigge på, om det fungerer, som det skal.

Nogle mindre virksomheder frygter ikke at være mål 25. maj. Risikerer de at møde jer?

– Der er ingen grace-periode ”(overgangsperiode, red.). Reglerne blev vedtaget i 2016, og virksomhederne har haft to år til at blive klar.

Men 25. maj er ikke D-dag. Vi fører tilsyn med reglerne hele tiden, og jeg forventer, at alle virksomheder arbejder seriøst med at komme i mål. Men selvfølgelig vil vi da være mere positivt indstillede over for de dataansvarlige, der kan dokumentere, at de har arbejdet seriøst på at få tingene på plads, men som lige mangler de sidste ting.

Hvad er dit bedste råd til virksomheder, der har svært ved at navigere i reglerne?

– Det vigtigste er, at man ikke skal gå i panik. Søg vejledning og råd hos os, din brancheorganisation eller køb bistand. Og så husk på: God datasikkerhed er god forretning!

Læs også: Persondata: 5 trin gør din virksomhed klar

Tilsyn stempler ind i hackerkrig

Datatilsynet styrker beredskab til at håndtere nye krav til anmeldelse af cyberangreb.

Datatilsynet forudser travlhed, når virksomheder kun har 72 timer til at indberette sikkerhedsbrud med indførelsen af de nye databeskyttelsesregler 25. maj.

– Lige meget om man køber top of the line-sikkerhed, kan man aldrig gardere sig helt mod sikkerhedsbrud. Cybersikkerhedskrigen kører på fuldt drøn, og det er et kapløb, siger Christina Gulisano, direktør i Datatilsynet.

Hun anbefaler virksomheder at have en beredskabsplan klar men påpeger også, at Datatilsynet står klar til at hjælpe med vejledning, når uheldet er ude.

Afsætter I flere ressourcer til det?

– Der er tale om en ny opgave – også for os – og vi er klar. Men hvor mange ressourcer det vil kræve – det vil tiden vise. Vi ved jo endnu ikke, hvor mange anmeldelser vi ender med at få, siger Cristina Gulisano.

Hun påpeger, at en indrapportering ikke vil være en formildende omstændighed, hvis en virksomhed har slækket på databeskyttelsesreglerne. 

Læs også: Næsten ingen virksomhed er 100 procent i mål

Skrevet af:
Oliver Fruergaard