Visse sektorer og udvalgte offentlige myndigheder vil fremover blive pålagt strengere regler inden for it-sikkerhedsområdet. I maj 2022 godkendte EU-Parlamentet et direktiv - NIS2 - der har til formål at sikre, at medlemslandene senest i februar 2024 har implementeret den nye lovgivning.

NIS2 har til formål at forbedre informations- og cybersikkerhedsniveauet i virksomheder inden for energi, forsyning, sundhed, finans og it-brancherne. Virksomheder inden for disse sektorer skal blandt andet have indført et grundlæggende niveau af it-sikkerhed. NIS2 er den anden version af NIS, hvilket står for Net- og informationssikkerhed.

Den nye lovgivning udvider omfanget af brancher og sektorer, der er omfattet. Det centrale er, at sikkerhedsniveauet skal kunne dokumenteres, og det er også vigtigt at bemærke, at kravene omfatter hele forsyningskæden, således at også underleverandører og samarbejdspartnere er omfattet af reglerne. Hvis en virksomhed leverer til en NIS2-kompatibel virksomhed, kan det derfor være nødvendigt, at leverandøren også dokumenterer, at de er NIS2-kompatible. NIS2 er nu endnu en tilføjelse til den allerede lange række af regler, man skal forholde sig til, så som GDPR og Databeskyttelsesloven.

Databeskyttelsesloven

Databeskyttelsesforordningen har fået direkte virkning i Danmark, hvilket betyder, at der grundlæggende ikke må være anden dansk lovgivning, der regulerer behandlingen af personoplysninger, i det omfang det allerede er reguleret i forordningen.

Databeskyttelsesforordningen giver dog mulighed for, at der inden for visse områder i national lovgivning kan fastsættes bestemmelser for at tilpasse anvendelsen af forordningen.

Justitsministeriet har derfor vurderet, at det er nødvendigt at etablere en generel lov, som supplerer reglerne i databeskyttelsesforordningen. Dette er især relevant for at opretholde den eksisterende retsstilling, for eksempel muligheden for at undtage visse oplysninger fra oplysningspligten og indsigtsretten samt muligheden for at behandle følsomme oplysninger under visse betingelser.

Formålet med databeskyttelsesloven er primært at supplere reglerne i databeskyttelsesforordningen med nationale bestemmelser om behandling af personoplysninger inden for det nationale råderum, som forordningen giver mulighed for, samtidig med at den nuværende persondatalov ophæves.

IT-sikkerhed i mindre virksomheder

Hvis I er en mindre virksomhed med 1-10 medarbejdere, eksempelvis inden for bygge-, anlægs- eller installationsbranchen, er I sandsynligvis afhængige af teknologi i jeres daglige arbejde. Det er derfor afgørende at være opmærksom på jeres virksomheds IT-sikkerhed for at undgå at miste kunder, tillid og indtægt.

Det behøver ikke være besværligt at beskytte sig mod hackerne. Få de vigtigste råd her på vores hjemmeside.

Selvom I er en lille virksomhed, er I ikke immune over for IT-kriminalitet. IT-kriminelle angriber bredt og går også efter virksomheder med færre end 10 medarbejdere. De udnytter enhver mulighed for at trænge ind, og de angriber især, hvor sikkerheden er mindst. Nogle små virksomheder har oplevet alvorlige konsekvenser efter et IT-angreb.

Hvordan forholder man sig til GDPR i en mindre virksomhed?

Når din virksomhed i Danmark behandler personoplysninger, skal du overholde GDPR.

GDPR står for "General Data Protection Regulation" og er på dansk også kendt som databeskyttelsesforordningen. GDPR er EU's regler for databeskyttelse, og de gælder blandt andet, når private virksomheder behandler oplysninger om personer (personoplysninger).

Alle danskere har som EU-borgere en række rettigheder i GDPR. Det betyder konkret, at når din private virksomhed "behandler personoplysninger" om andre - det vil sige indsamler, registrerer, videregiver eller sletter personoplysninger om f.eks. dine kunder eller ansatte - skal du overholde GDPR.

Hvorfor GDPR?

Reglerne har skabt øget fokus på den enkelte borgers ret til at have kontrol over sine egne data - det gælder også dine oplysninger, når du som privatperson bliver registreret af en virksomhed eller myndighed. Med GDPR har vi som EU-borgere de samme databeskyttelsesrettigheder inden for EU - uanset hvilket EU-land, vores data behandles i.

For virksomheder skal GDPR skabe klarere regler for brug af personoplysninger i forretningsdrift. Som en fælles EU-lov gør GDPR de forskellige EU-landes håndtering af databeskyttelsesreglerne ensartet og fjerner unødvendig administration på tværs af landene.

GDPR er fleksibel

GDPR er udformet som fleksible regler, der giver dig som virksomhedsejer mulighed for at tilpasse dine databehandlingspraksisser efter dine egne behov. Det er vigtigt, at du selv vurderer, hvilke personoplysninger der er nødvendige for at drive din forretning, samt formålet med databehandlingen og hvor længe oplysningerne bør gemmes.

Formålet med denne tilgang til databeskyttelsesreglerne er ikke at skabe usikkerhed eller bekymring, men derimod at sikre, at reglerne kan imødekomme de forskellige behov i forskellige brancher og virksomheder.

Hvis du har brug for hjælp til at forstå og overholde GDPR, kan du altid søge vejledning hos Datatilsynet. Desuden kan din brancheorganisation også være behjælpelig med at besvare specifikke spørgsmål vedrørende din virksomheds håndtering af GDPR.

Praktiske tiltag for at imødekomme GDPR

Sikre gode procedurer for behandling af personoplysninger. De personer, hvis oplysninger du anvender eller gemmer, har visse rettigheder. Disse inkluderer retten til at anmode om en kopi af deres oplysninger (ret til indsigt), få fejlagtige oplysninger rettet og få deres oplysninger slettet.

Du kan læse mere om de enkelte rettigheder her:

Hvis en person anmoder om at udøve en af disse rettigheder, skal du svare inden for en måned, selv hvis du afviser deres anmodning. For at sikre, at du kan overholde denne frist, er det en god idé at have klare procedurer for, hvordan du håndterer sådanne anmodninger.

Her er en tjekliste, du kan følge, når du modtager en anmodning fra en person, der ønsker at udøve sine rettigheder:

1. Udpeg en ansvarlig

Vælg en af dine medarbejdere (eller dig selv) til at være ansvarlig for alle opgaver vedrørende databeskyttelse.

2. Identificér personen korrekt

Du skal bekræfte identiteten på den person, der anmoder om at udøve sine rettigheder. Du kan bede om yderligere information, men kun anmode om at se ID, hvis det er absolut nødvendigt.

3. Verificér rettighederne

Læs mere om, hvordan du kan bekræfte personens rettigheder her.

4. Forstå personens ønsker

Spørg ind til, præcis hvad personen ønsker oplyst, slettet, rettet osv.

5. Fastlæg deadlines

Du skal svare inden for en kalendermåned, uanset om den har 28 eller 31 dage. Sæt gerne en deadline på 28 dage for at være sikker på at overholde fristen. Hvis du modtager en kompleks anmodning eller gentagne anmodninger fra samme person, kan du forlænge fristen med to måneder. Du skal dog informere personen om den længere behandlingstid.

6. Søg efter relevante oplysninger om personen

Du bør tænke over, hvor du potentielt kan have oplysninger gemt og være grundig i din søgen. Husk også at overveje eksterne harddiske, USB-sticks, indlæg på sociale medier, overvågningskameraoptagelser osv. Oplysninger kan også være hos andre, der håndterer dem på dine vegne.

7. Tjek materialet for oplysninger om andre

Du må ikke udlevere oplysninger om andre personer end den anmodende person selv. Hvis det materiale, du vil udlevere, indeholder oplysninger om andre, skal du fjerne disse oplysninger. Dette kan gøres ved at overstrege oplysningerne eller sløre billeder eller videomateriale. Hvis du bruger en computer til dette, skal du sørge for at fjerne oplysningerne på en måde, så modtageren ikke kan genskabe informationen.

8. Forbered supplerende oplysninger og svar

Ud over selve oplysningerne skal personen også informeres om, hvorfor du bruger deres oplysninger, hvordan du har fået dem, hvor længe du planlægger at gemme dem, hvem du deler dem med, og hvordan de kan få deres oplysninger slettet eller rettet. Du kan eventuelt linke til din privatlivspolitik, som du har udarbejdet i trin 4: Informer om behandling af personoplysninger.