Velkommen til!

Hvad er egentlig GDPR, og hvorfor er det kommet?

Hvad er nyt for mig som erhvervsdrivende?

Hvad siger de praktiske erfaringer?

Skal jeg af med en masse penge?

Hvordan kan jeg sikre min virksomhed bedre?

Inteko GDPR 2018/04

Jo, det forklares!

Persondataforordningen - GDPR

GDPR: General Data Protection Regulation

Oversættes til PersonDataForordningen

• Både rigtigt og forkert oversat …

Forordningen handler netop om persondata,

altså data om fysiske personer

Inteko GDPR 2018/04

Hvorfor – og formåletUensartede regler i de 28, nej 27 EU-lande

Endnu mere uensartet praksis i landene

Forordningens formål:• Beskyttelse af personoplysninger• At skabe et område med frihed, sikkerhed og

retfærdighed• Behandling af personoplysninger bør have til

formål at tjene menneskeheden

Alvorlig opstramning ved overtrædelser

Inteko GDPR 2018/04

Citaterfra

GDPR

Denne forordning gælder ikke for en fysisk persons behandling af oplysninger under en rent personlig eller familiemæssig aktivitet og således uden forbindelse med en erhvervsmæssig eller kommerciel aktivitet. (18)

Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede (32)

Behandling bør anses for lovlig, når den er nødvendig i forbindelse med en kontrakt eller en påtænkt indgåelse af en kontrakt (44)

Inteko GDPR 2018/04

Citater… Især bør de specifikke formål med behandlingen af personoplysninger være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles.

Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling.

Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt.Alle fra (39)

Inteko GDPR 2018/04

Citater om

samtykkeDen registrerede har til enhver tid ret til at trække sit samtykke

tilbage.

Inden der gives samtykke, skal den registrerede oplyses om, at

samtykket kan trækkes tilbage.

Det skal være lige så let at trække sit samtykke tilbage som at

give det.Artikel 7 / 3

Inteko GDPR 2018/04

Eksempel på samtykke-erklæring

Inteko GDPR 2018/04

Disse oplysninger indsamler vi hos

Dette websted indsamler oplysninger på forskellige måder.

Når du bestiller varer eller tjenester hos os, bliver du bedt om at oplyse dit

navn, din e-mail-adresse, din stilling og andre kontaktoplysninger, som er

relevante for din henvendelse.

Hvis det er obligatorisk at afgive oplysningerne for at kunne fortsætte, vil

det være markeret med en *.

De indsamlede oplysninger vil kun blive anvendt i forbindelse med, at vi

kontakter dig som led i det generelle kundeforhold og for at gøre det

lettere for dig at bruge vores websted samt vores tjenester og produkter.

Inteko GDPR 2018/04

Dine oplysninger vil ikke blive videregivet til nogen tredjemand, medmindre vi

har indhentet dit udtrykkelige samtykke hertil, eller hvis videregivelse er

påkrævet ved lov.

Rettelse/opdatering af oplysninger

Hvis du ønsker at rette, opdatere eller på anden måde ændre de oplysninger, du

har givet os, eller hvis du ønsker at gøre indsigelse mod vores behandling af

disse oplysninger, bedes du kontakte os på ovennævnte adresse, e-mail-adresse,

telefonnummer eller faxnummer.

Sikkerhed

Vi gør alt, hvad vi kan, for at sikre dine personlige oplysninger, og dette

websted har truffet sikkerhedsforanstaltninger, der har til formål at beskytte

mod tab, misbrug og ændring af de oplysninger, vi har kontrol over.

Inteko GDPR 2018/04

Videregivelse af oplysninger (fra)

Cita

ter

Den registrerede har ret til at få den dataansvarliges bekræftelse på, om

personoplysninger vedrørende den pågældende behandles, og i givet fald

adgang til personoplysningerne (herefter en lang række krav) Artikel 15 /1

Den registrerede har ret til at få urigtige personoplysninger om sig selv

berigtiget af den dataansvarlige uden unødig forsinkelse. Artikel 16

Den registrerede har ret til at få personoplysninger om sig selv slettet, hvis

bl.a.:

• Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev

indsamlet

• Den registrerede trækker det samtykke, der er grundlaget for behandlingen, tilbage

• Den registrerede gør indsigelse mod behandlingen

• Behandlingen er ulovligArtikel 17/1

Inteko GDPR 2018/04

Hvem er ikke omfattet?

• Personers rent private relationer

• Forretning-til-forretning (”B2B”)

Inteko GDPR 2018/04

Hvem er da omfattet?• Alle andre

• Forretning-til-forretning, hvad angår ”den anden forretnings” kunder eller klienter

• Foreninger

Et par myter …• Jeg gemmer ikke mine

kunders CPR-nummer, så jeg er ikke omfattet

• Det er mit system, så jeg ejerdisse persondata

• Mails, notater og andet ustruktureret data er ikke omfattet

Inteko GDPR 2018/04

Hvem ejer data fra 25. maj?

• Kun én – mig – den fysiske person• Firma, forening, offentlig myndighed, alle

andre end mig selv låner blot mine data• Derfor har jeg krav på vide, hvad der

registreres om mig• Derfor kan jeg gøre krav på rettelser, flytning

og sletning af data• Derfor har ingen ej heller ret til at sælge mine

data uden mit udtrykkelige samtykke

Inteko GDPR 2018/04

Formålet med databehandling

• Skal være legitimt

• Skal angives før behandling og må ikke ændres eller skride

• Og data må ikke viderebehandles i strid med det oprindelige formål

Inteko GDPR 2018/04

Datatilsynet

Datatilsynet sikrer overholdelse af GDPR

Registerloven – 1991• Udgangspunkt i daværende teknologi

Persondataloven – 2000• Anmeldelsespligt

GDPR og L68 – 2018• EU Forordning + Databeskyttelsesloven – L68

Inteko GDPR 2018/04

• Datatilsynet havde pr. april 2018 45 ansatte, primært jurister

• Direktør: Cristina Gulisano,

som til Computerworld den 9. april bl.a. udtaler:”… at tilsynet ikke kommer til at storme ud med rødglødendebødeblokke, så snart kalenderen viser 25. maj.”

Faktisk skal tilsynet slet ikke på inspektion på den megetomtalte skæringsdato.

“Vi holder faktisk et personalearrangement hele dagen den dag.”

I følge Datatilsynets Årsrapport er der i 2017 gennemført

”38 planlagte tilsyn, herunder 15 tilsyn af supermarkeders tv-overvågning”

”Datatilsynets inspektionsplan er ikke offentligt tilgængelig. Men de

dataansvarlige, som Datatilsynet vil besøge, bliver forinden varslet om

tilsynets besøg”. Kilde: Datatilsynet.dk 16/8 2015

Inteko GDPR 2018/04

Trusler og risici (for os med firmaer)

Inteko

Høj hyppighed

og/eller stor

sandsynlighed

Sjældent

og ringe

sandsynlighed

Små konsekvenser Store konsekvenser

Vred kunde

Frustreret medarbejder

Konkurrent

Medier

Løsesums-angreb

Datatilsynet

Den store trusselRansomware: Krypterer data og kræver løsesum for at »frigive« data

Løsesumsangreb:Stjæler persondata

og truer med offentliggørelse

Hvad må der gøres

• Analysér situationen

• Dokumentér dine data

• Fjern overflødige data

• Planlæg samtykke

• Lav en tidsplan (hvis Datatilsynet kommer)

• Skab et sikkert it-miljø

• Indhent samtykke

Inteko GDPR 2018/04

Hvorfor samtykke?

• Men her mangler noget!

Inteko GDPR 2018/04

Blive GLEMT

FLYTTE mine data

RETTE fejl i mine data

Informeret SAMTYKKE

VIDEN om, at jeg er registreret og HVOR

De fleste kan kun få VIDEN via at blive bedt om SAMTYKKE !

Udfordringer for sikkerheden

• Passwords under tastaturet

• Data i Skyen

• Usikre pc’er & styresystemer

• Usikker mail

Inteko GDPR 2018/04

Spørgsmål

Hvor mange hér bruger gode kodeord?

Hvor mange bruger dårlige kodeord?

Hvor mange bruger det samme kodeord enmasse steder?

Hvor mange lader computeren gemmederes kodeord?

Inteko GDPR 2018/04

?

?

?

??

Om at “gemme” kodeord

• Der findes et utal af “elektroniske tegnebøger”

• Kan man stole på dem?

• Hvis man ikke kan, er man virkelig i vanskeligheder!

• Tjek i stedet denne her:

KeepassYes, KeePass is really free, and more than that: it is open source (OSI certified). You can have a look at its full source and check whether the encryption algorithms are implemented correctly.

Findes på https://keepass.info

Inteko GDPR 2018/04

Fordelene ved Keepass

• Man kan have mange forskellige og uhuskelige passwords

• Man kan »have dem med sig«

• Man har selv kontrol over placeringer og har dermed sikkerhedskopi

• MEN: Master password skal være virkelig stærkt

Inteko GDPR 2018/04

Hvordan laver man et stærkt password?

• Det skal være langt

• Rumme mange forskellige tegn

• Det skal være let at huske (ups, hvordan?)

Inteko GDPR 2018/04

0eger-L8-med-P1er

nu leger Lotte med Peter

dr1g1 Sv1 2g 2g1

drengen Sven tog toget

10 nu s10lle Vik2ria!

Ti nu stille Viktoria!

Ukrypterede data i »skyen«

• Dropbox

• Google Cloud

• Onedrive

• Etc. etc.

Inteko GDPR 2018/04

Usikre pc’er og styresystemer

Security by design & default

Et af Forordningens mest fornuftige krav

Designet for sikkerhed og med maksimal sikkerhed som standardindstilling

Kan det opfyldes i dag?

Nej og Ja

Inteko GDPR 2018/04

Intet er 100% SIKKERT• (jo, en enkelt ting)

• Men inden for it findes 100% sikkerhed ikke

• Men er det nu en grund til at vælge det, som er

(næsten) 100 % usikkert?

Det er alt for nemt at omgå Windows’ tynde, tynde sikkerheds-skal

Kun én brugbar metode: Kryptering af hele disken!• Fordi Windows gemmer data mange sære steder• Og fordi slettede filer alligevel ikke er slettede

… kan Microsoft ® Bitlocker kryptering anbefales• Det er nemt at bruge og sløver ikke computeren

Men der er nogle forudsætninger• Fungerer bedst med Windows 10 Pro eller Education,

men ikke med de såkaldte Home udgaver• Og pc’en bør være nyere og af »professionel type«• Og det kan være ret bøvlet at installere. Vær forsigtig!

Inteko GDPR 2018/04

Mail er meget lidt privat

• Rigtig mange har mailkonto hos milliardær-giganter som• Google (gmail.com) og

• Microsoft (outlook.com)

• Hvorfor mon de leverer dette gratis?

• Ved du, om disse firmaer overholder dine ønsker om et privatliv?

Inteko GDPR 2018/04

Mail er meget lidt sikkert

Med ganske enkle – og helt lovlige – midler kan jeg ændre i en mail jeg modtager

Nysgerrig? Så gør følgende:

Skriv en mail til torsten@inteko.dk

I emnefeltet skriv: Fusk med mailI meddelelsen, skriv: Send mig de 10 kroner, du skylder

… så skal du bare vente og se svaret!

Inteko GDPR 2018/04

Det er ufatteligt, det går godt!

Nem og sikker mail

• Kun til det, der er beskyttelsesværdigt

• Men brug det dér !!

• Det burde være eBoks, men de kan ikke (før næste år)

• Derfor anbefaler Inteko TutaNota

• https://app.tutanota.com

Inteko GDPR 2018/04

Hvad gør vi nu, lille du?

• Ingen panik!

• Betal ikke for snak

• Følg procesdiagrammet

• Pas på passwords

• Find teknisk løsning på Inteko.dk

• Få hjælp, hvis det er (for) svært

Stil spørgsmål til: torsten@inteko.dk

Inteko GDPR 2018/04