Indsigt

Princippet om ansvarlighed

Hvad skal organisationer gøre for at udvise ansvarlighed for deres databehandlingsaktiviteter?

Princippet om ansvarlighed har til formål at garantere, at databeskyttelsesprincipperne bliver overholdt. Det indebærer en kulturel forandring, således at:

  • Transparent databeskyttelse støttes.
  • Organisationers politikker sikrer beskyttelse af personoplysninger og brugerkontrol, og at der er effektive procedurer for at tage persondatabeskyttelse i brug.
  • Et ledelsesansvar over for eksterne interessenter og databeskyttelsesmyndigheder eksisterer.

Princippet om ansvarlighed
Databeskyttelsesforordningen (GDPR) introducerer et nyt princip, nemlig ansvarlighed. GDPR kræver, at den dataansvarlige er ansvarlig for at sikre, at alle principper for persondatabeskyttelse overholdes. Desuden kræver GDPR, at organisationer kan påvise, at de overholder principperne.
Så hvilke skridt bør organisationer tage for at opbygge en sådan kultur og påvise ansvarlighed?
Først kræver det, selvsagt, at organisationen ved, hvilke principper den skal overholdes. Det er henholdsvis principperne om

  • Lovlighed, 
  • Retfærdighed 
  • Gennemsigtighed
  • Formålsbegrænsning
  • Dataminimering
  • Nøjagtighed
  • Opbevaringsbegrænsning 
  • Integritet 
  • Fortrolighed

En af de bedste måder at sikre, at disse principper overholdes, er at den interne governancestruktur ift. persondatabeskyttelse er udformet korrekt og udtømmende.

Måderne at indarbejde disse principper på er vævet ind i hele GDPR. For eksempel fremgår det i forordningen, at en organisation er forpligtet til at implementere passende tekniske og organisatoriske foranstaltninger som fastlagt i GDPR. Det kunne eksempelvis være:

  • Processer/politikker skal dokumenteres 
  • Der skal udarbejdes konsekvensanalyser vedr. databeskyttelse (DPIA) 
  • Der skal udarbejdes forslag til øget datasikkerhed 
  • Databeskyttelse by design og by default skal implementeres 
  • En Databeskyttelsesrådgiver (DPO) er ansvarlig for sikre personoplysninger og for at føre et register over databehandling
  • Brud på datasikkerheden skal anmeldes
  • Der skal være særlig opmærksomhed på brancheetiske regler og selvcertificering
  • Der skal være gennemsigtighed

En kulturel og organisatorisk forandring
En stærk governancestruktur er essentiel for at standardisere persondatabeskyttelse og udvikle privacy by design og by default. Ved at udvikle interne retningslinjer for medarbejdere kan man sikre, at juridiske forpligtelser overholdes. Det er vigtigt, at organisationer indarbejder uddannelse- og awarenessprogrammer for alle, der vil blive involveret i behandlingen af personoplysninger. Organisationer kan også overveje at følge branchespecifikke etiske regler eller oprette interne retningslinjer for, hvordan dataanalyser gennemgås.

Ved at følge brancherelaterede etiske regler kan man påvise overholdelse, især når certificeringer udstedes af certificeringsorganer. Disse mekanismer er ikke obligatoriske under GDPR, men anbefales kraftigt. Udvikling af egne etiske standarder i forhold til behandling af personoplysninger kan yderligere øge organisationers bestræbelser på at udvise ansvarligheden.

Risikoen ved nye initiativer bør vejes op imod mulige fordele. Spørgsmål som "kan vi lovligt gøre dette?" bør suppleres med ”ønsker vi at gøre dette, og hvordan vil det blive opfattet af vores kunder?” for at beskytte den etiske brug af oplysningerne.

Desuden forpligter GDPR organisationer og virksomheder til at føre et internt register over alle databehandlingsaktiviteter. De er blandt andet forpligtet til at registrere formålet med databehandlingen og at beskrive de tekniske og organisatoriske sikkerhedsforanstaltninger.

Nyt i GDPR er kravet om at udpege en databeskyttelsesrådgiver (DPO). Selv om kravet kun er obligatorisk under visse omstændigheder, kan en DPO overvåge aktiviteterne i en organisation og databehandlingen for at hjælpe dem med at overholde GDPR.

Konklusion
Under GDPR bliver princippet om ansvarlighed vigtigere. Jeres organisation er ikke kun forpligtet til at overholde principperne fastlagt i GDPR, men skal også påvise overholdelse. For at leve op til princippet om ansvarlighed er en omfattende governancestruktur nødvendig. At efterkomme princippet om ansvarlighed medfører et kulturelt og organisatorisk skifte. Ved hjælp af stærke tekniske og organisatoriske foranstaltninger kan organisationer påvise overholdelse af GDPR.

Fandt du dette nyttigt?