EU's persondataforordning

Er du klar til EU's nye persondataforordning? Lad os være din eksterne databehandler - når du har brug for det!

Hos MultiHouse har vi over en længere periode arbejdet målrettet med IT-sikkerhed og EU’s nye persondataforordning, som trådte i kraft i maj 2018.

Vi er derfor parate til at hjælpe din virksomhed med at efterleve de nye dokumentationskrav og få sat rammerne som din databehandler.

MultiHouse anbefaler, at I tager de første skridt for at imødekomme persondataforordningen med det samme, da der er en lang række af punkter, som skal efterleves.

Vi står klar til at hjælpe din virksomhed med at skabe et overblik over, hvordan forordningen påvirker jeres virksomhed, således I kan få iværksat de rette procedure allerede nu. 

Nye dokumentationskrav fra EU

Som din hosting partner indtager vi rollen som databehandler, mens I agerer dataansvarlig, og det er derfor jeres pligt at kunne dokumentere, hvordan I overholder de grundlæggende principper i forordningen. For at dette kan lade sig gøre er det nødvendigt, at I gennemgår jeres forretningsprocesser og beskriver, hvordan i håndterer persondata.

Dataansvarligs pligter
Som dataansvarlig har I ligeledes pligt til at indberette og holde os opdateret med kontaktinformationer på de medarbejdere, der er listet som databeskyttelsesansvarlige hos jer. Disse oplysninger vil blive dokumenteret i vores sagssystem, så vi ved, hvem vi skal kontakte, såfremt vi identificerer et sikkerhedsbrud i jeres systemer.

En væsentlig del af forordningens dokumentationskrav er, at skabe et overblik ved at dataklassificere ens systemer. MultiHouse dataklassificerer systemer ifølge henvendelse fra den dataansvarlige, hvorfor det er nødvendigt at I klassificerer jeres systemer med nedenstående klassifikationer, så det tydeligt fremgår om systemet behandler, tilgår eller opbevarer persondata.

Følsomme persondata / SPI (Sensitive Personal Information) klassifikationer Almindelige persondata / PPI (Personal Identifiable Information) klassifikationer
Behandler SPI Behandler PII
Opbevarer SPI Opbevarer PII
Tilgår SPI Tilgår PII


Vi har udarbejdet en liste over, hvilke data der kategoriseres som følsomt- og almindeligt persondata:

Følsomme persondata

  • Etnisk baggrund, politisk-, religiøs-, eller filosofisk overbevisning
  • Fagforening, helbredsmæssige- og seksuelle forhold
  • Strafbare forhold
  • Væsentlige sociale problemer
  • Andre rent private forhold, fx selvmordsforsøg, personlighedstest, bortvisning fra jobbet, førtidspensionist

Almindelige Persondata

  • Økonomi f.eks. skat eller gæld
  • Sygedage
  • Tjenstlige forhold
  • Familieforhold
  • Bolig
  • Bil
  • Ansøgninger herunder CV og eksamensbevis
  • Ansættelsesforhold som ansættelsesdato, stilling og arbejdsområder
  • Arbejdstelefon
  • Stamoplysninger: navn, adresse, fødselsdato

Udarbejd faste aftaler med dine databehandlere

Det overordnede ansvar for at forordningen overholdes ligger hos dig som dataansvarlig, men MultiHouse har som din databehandler også en række punkter, som skal overholdes. 
Det er derfor væsentlig at få udarbejdet en databehandleraftale, hvori det sikres at:

  • Der er samtykke omkring de pligter som databehandleren har
  • De involverede personer er underlagt tavshedspligt
  • Personoplysninger overføres kun til tredjelande med samtykke fra den dataansvarlige
  • Behandler kun personoplysninger efter dokumenterede instruktioner fra den dataansvarlige
  • MultiHouse(databehandler) vil assistere kunden(dataansvarlige), så denne kan efterleve krav ift.
    Notifikation til Datatilsynet og de registrerede ved brud på datasikkerhed
    Inspektioner fra Datatilsynet
    Konsekvensanalyse

MultiHouse assisterer dig med at dokumentere overførelsen af oplysninger til tredjelande. Dokumentationen vil indeholde oplysninger om identifikation af tredjeland og dokumentation af fornødne garantier ved ikke-sikre tredjelande. Herudover leverer vi kontaktoplysninger til de underleverandører, der indgår i kundens løsning, således at kunden med disse oplysninger kan indgå databehandleraftaler med de pågældende underleverandører. Idet vi driver vores eget danske hostingcenter, er du ikke pålagt at skulle indgå en lang række databehandleraftaler, da vi har det meste in-house.

Det er væsentligt, som din databehandler, at pointere at Multihouse håndterer personoplysninger på vegne af og efter instruks fra dig som dataansvarlig. MultiHouse behandler aldrig personoplysninger til egne formål, og vi bruger ikke oplysningerne til andet end udførelsen af opgaven for den dataansvarlige.

Har I faste procedure, hvis uheldet er ude?

Hos MultiHouse har vi et stort fokus på IT-sikkerhed generelt, og vi holder os hele tiden opdateret på det konstant forandrede trusselsbillede, da vi som aktivt medlem af bl.a. politisamarbejdet NC3Skyt løbende modtager oplysninger fra europol, FBI og NC3.

Vi besidder både de tekniske og organisatoriske sikkerhedsforanstaltninger ift. at agere som databehandler, hvilket er dokumenteret i vores sikkerhedshåndbog.

Vores sikkerhedshåndbog efterlever kravene fra ISO27002 standarden og tager afsæt i vores revisorerklæring ISAE3402 type 2, som årligt gennemgås af en ekstern revisor. Sikkerhedshåndbogen indeholder ligeledes beredskabsplaner i tilfælde af sikkerhedshændelser. Det er et krav i den nye forordning at have faste og klarlagte procedure, såfremt et sikkerhedsbrud identificeres.

Hos MultiHouse stiller vi gerne konsulentbistand til rådighed, så I kan få udarbejdet jeres egen sikkerhedshåndbog.

Adgangsstyring og brugeradministration

Som et betydeligt led i jeres sikkerhedskæde er det væsentligt, at I er i stand til at foretage adgangsstyring og brugeradministration, så I har muligheden for at kontrollere, hvilke data de enkelte medarbejdere har ret til at tilgå, og hvorfra disse må tilgås. 
MultiHouse har muligheden for at hjælpe med at administrere jeres medarbejderes brugerrettigheder, såfremt i holder os opdateret herom. 

Du har pligt til at informere om eventuelle sikkerhedsbrud

Som en væsentlig del af den nye forordning har I som dataansvarlige notifikationspligt ved et sikkerhedsbrist, der kan medføre hændelig eller ulovlig tilintetgørelse, ændring, tab, eller adgang til personoplysninger. MultiHouse skal, som databehandler også straks oplyse den dataansvarlige, såfremt vi identificerer et sikkerhedsbrud.

Tidligere undersøgelser viser dog at der i gennemsnit går 204 dage fra et sikkerhedsbrud til at det opdages af virksomheden. Det er derfor vigtigt at have ekstra fokus på at overvåge ens systemer og logge ens oplysninger, så det er muligt at lokalisere fjendtligt indtrængen.

For at imødekomme dette behov tilbyder MultiHouse, imod ekstra betaling, produktet SOC (Security Operation Center), der overvåger din virksomheds systemer og straks informerer den dataansvarlige, hvis der identificeres mistænkelig adfærd.