Covid-19 har skabt hidtil usete udfordringer for organisationer i hele verden. På kort tid har organisationer været nødt til hurtigt at oprette fjernoperationer, reagere hurtigt på nye risici og tilpasse processer, samtidig med at de har skullet overholde GDPR.
Som følge af pandemien indsamler og behandler organisationer nu nye typer oplysninger om enkeltpersoner. Mange af disse oplysninger falder ind under kategorierne "personoplysninger" og "særlige kategorier af personoplysninger", som begge er underlagt strenge krav om overholdelse i henhold til GDPR.
Den hurtige overgang til fjernarbejde har også understreget vigtigheden af databeskyttelse, da cyberkriminelle forsøger at udnytte pandemien og bruge den som et middel til at iværksætte målrettede angreb. Der opstår hele tiden nye cybersikkerhedsrisici, så det er afgørende, at organisationer implementerer de korrekte foranstaltninger, der er nødvendige for at opretholde den strengeste datasikkerhed, som GDPR kræver.
Det britiske Information Commissioner's Office (ICO ) har sagt, at de forstår de vanskeligheder, som organisationer i øjeblikket står over for, og at de vil anlægge en "rimelig og pragmatisk" tilgang til håndhævelse af databeskyttelsesforpligtelser. De har dog gjort det klart, at det stadig i høj grad forventes, at organisationer opretholder et godt niveau af overholdelse af GDPR, samtidig med at de tilpasser sig dette nye arbejdsmiljø.
For at sikre, at din organisation fortsat overholder GDPR under Covid-19, har vi skitseret en række skridt, du kan tage for at sikre, at din organisation overholder GDPR.
Toptips til at opnå GDPR-overholdelse under Covid-19
1. Udfør en konsekvensanalyse af databeskyttelsen (DPIA)
For at overholde GDPR skal du kunne dokumentere, at du opfylder yderligere registreringskrav, når du behandler følsomme data. Da sundhedsoplysninger er klassificeret som en "særlig kategori af personoplysninger", er de forbundet med en højere risiko. En måde at påvise ansvarlighed på og sikre, at der er truffet passende foranstaltninger til at beskytte disse data, er gennem en konsekvensanalyse af databeskyttelse. DPIA'er hjælper med at identificere og minimere risici i forbindelse med behandling af personoplysninger.
DPIA'en bør indeholde følgende:
- Den aktivitet, der behandles
- Risici i forbindelse med databeskyttelse
- Om aktiviteten er nødvendig og forholdsmæssig
- Hvordan risikoen vil blive afbødet
- Bekræftelse af, at afbødningen har været effektiv
DPIA'en vil være afgørende for at påvise overholdelse og reducere databeskyttelsesrelaterede risici for din organisation.
2. Indsaml og behandl kun det, der er nødvendigt
I henhold til GDPR skal organisationer have en specifik og legitim grund til at indsamle og behandle personlige oplysninger. Oplysningerne må kun anvendes til specifikke formål og må ikke behandles til andre formål, medmindre den registrerede har givet sit udtrykkelige samtykke. Alle indsamlede data må kun være begrænset til det, der er nødvendigt for at nå disse specifikke formål.
Det betyder, at din organisation bør vurdere og identificere de typer af personoplysninger, der skal behandles for at beskytte personalet. Er det f.eks. nødvendigt at foretage temperaturkontrol, når medarbejderne kommer ind på kontoret? Skal kontaktpersoner til en medarbejder, der testes positiv for Covid-19, underrettes? Din organisation kan ikke bare indsamle personoplysninger, fordi de måske kan være nyttige i fremtiden, der skal være klare mål for, hvorfor disse oplysninger behandles. Hvis du kan påvise, at din fremgangsmåde er rimelig, fair og står i et rimeligt forhold til omstændighederne, er det usandsynligt, at den er ulovlig.
3. Vær gennemsigtig
Når du behandler personoplysninger, skal du være åben og ærlig om, hvad du gør med dem. Hvis din organisation f.eks. skal gennemføre test for medarbejdere, eller hvis du skal indsamle data med henblik på kontaktopsporing, skal du være gennemsigtig og stille visse oplysninger til rådighed for de pågældende personer. Medarbejderne har ret til at vide, hvorfor du har brug for disse data, hvad du har til hensigt at gøre med dem, og hvem du vil dele dem med.
Det er bedst at få disse oplysninger nedskrevet i et dokument, der kaldes en meddelelse om beskyttelse af personlige oplysninger. En meddelelse om beskyttelse af personlige oplysninger er et af de vigtigste dokumenter, som du skal udarbejde, hvis du behandler personoplysninger, for at overholde GDPR. Den forklarer i bund og grund, hvordan du indsamler, behandler og bruger folks data. Din eksisterende meddelelse om beskyttelse af personlige oplysninger beskriver måske allerede, hvilke oplysninger der kan indsamles og behandles under en sundhedskrise, men det kan være nødvendigt at opdatere den for at afspejle eventuelle nye databehandlingsaktiviteter, der udføres under den nuværende Covid-19-pandemi.
4. Hold oplysningerne sikre
Alle personlige oplysninger, som du har, skal opbevares sikkert og kun så længe, som det er nødvendigt. En opbevaringspolitik vil hjælpe med at afgøre, hvornår personoplysninger skal revideres, slettes eller bortskaffes. Fysiske optegnelser bør låses inde for at forhindre databrud, og der bør træffes passende sikkerhedsforanstaltninger for at sikre personoplysninger, der opbevares digitalt.
På trods af den hurtige overgang til fjernarbejde har ICO erklæret, at organisationer bør indføre den samme slags sikkerhedsforanstaltninger, som de ville bruge under normale omstændigheder. For at forhindre brud på persondatasikkerheden og mindske risikoen for et kostbart cyberangreb er det vigtigt, at du opretholder sikkerheden i systemer og software og forbliver opmærksom på coronavirusrelaterede cybertrusler. Medarbejderne skal også uddannes om de nye trusler, der udvikler sig, og uddannes i at bruge de nye sikkerhedsværktøjer og -processer, der muliggør sikkert fjernarbejde.
Desuden er organisationer stadig juridisk forpligtet til at videregive brud på persondatasikkerheden til den relevante tilsynsmyndighed senest 72 timer efter opdagelsen.
5. Respekt for den registreredes rettigheder
Selv om du arbejder under ekstraordinære omstændigheder, er det afgørende, at din organisation informerer enkeltpersoner om deres rettigheder i forbindelse med deres personlige data. GDPR giver enkeltpersoner følgende rettigheder:
- Retten til at blive informeret - Enkeltpersoner har ret til at blive informeret om indsamling og brug af deres personoplysninger.
- Adgangsret - Enkeltpersoner har ret til at få adgang til deres personoplysninger og eventuelle supplerende oplysninger. De kan anmode om en kopi af alle oplysninger om dem, og den skal udleveres gratis og senest en måned efter, at anmodningen er indgivet.
- Retten til berigtigelse - Enkeltpersoner kan anmode om, at eventuelle unøjagtige personoplysninger berigtiges.
- Retten til sletning - Enkeltpersoner kan anmode om at få deres personoplysninger slettet. Retten til sletning er også kendt som retten til at blive glemt.
- Retten til at begrænse behandlingen - Under visse omstændigheder kan enkeltpersoner anmode om, at yderligere behandling af deres oplysninger begrænses. Når behandlingen er begrænset, har du tilladelse til at opbevare deres personoplysninger, men ikke bruge dem.
- Retten til dataportabilitet - Enkeltpersoner kan få og genbruge deres personoplysninger til deres egne formål på tværs af andre tjenester.
- Retten til at gøre indsigelse - Medmindre der er legitime grunde til at behandle en persons personoplysninger, har vedkommende ret til at gøre indsigelse mod behandlingen.
- Rettigheder i forbindelse med automatiseret beslutningstagning og profilering - GDPR indeholder bestemmelser om automatiseret individuel beslutningstagning. Dette mindsker risikoen for, at der træffes negative beslutninger uden menneskelig indgriben.
Hvis din organisation har indført symptomkontrol eller testning, er der yderligere krav, som du skal følge. Disse omfatter identifikation af et lovligt grundlag for at bruge de oplysninger, du indsamler, og gennemførelse af en DPIA, hvis sundhedsdata behandles i stor skala.