Datatilsynet fokuserer i 2022 på forsyningsselskaber

Af: Kristine Mølgaard Mogensen

Datatilsynet fører tilsyn med, om reglerne om databeskyttelse bliver overholdt. Hvert år melder de ud, hvilke områder de særligt vil fokusere på i deres tilsynsaktiviteter.
Datatilsynet har netop meldt ud, at de i 2022 bl.a. vil rette fokus mod forsyningsselskabers håndtering af anmodninger om indsigt og sletning.

Baggrunden for at rette fokus mod forsyningsselskaberne er, at Datatilsynet jævnligt modtager henvendelser fra borgere, der klager over forsyningsselskabers besvarelse af anmodninger om indsigt i eller sletning af personoplysninger, som selskaberne behandler.

Forsyningsselskaber skal i lighed med andre dataansvarlige håndtere anmodninger i overensstemmelse med databeskyttelsesreglerne. En effektiv måde at gøre det på er at udarbejde og implementere interne retningslinjer, opdatere dem ved behov og lave interne stikprøver af, om de efterleves.

Databeskyttelsesreglerne indebærer bl.a., at anmodninger som hovedregel skal besvares hurtigst muligt og senest en måned efter modtagelsen. Samtidig skal identiteten på den, der anmoder, sikres, så der f.eks. ikke udleveres personoplysninger til uvedkommende, og at der rent faktisk kan gives indsigt i personoplysninger samt foretages sletning deraf, hvis der behandles personoplysninger om vedkommende. Alle disse krav skal der tages højde for i de interne retningslinjer.

Kontakt gerne advokat Marcus Gangdal på 38 40 42 47 eller maj@hulgaardadvokater.dk eller advokat Kristine Mølgaard Mogensen på 38 40 42 40 eller kmm@hulgaardadvokater.dk, hvis I ønsker rådgivning om overholdelse af databeskyttelsesreglerne.

Hulgaard Advokater i samarbejde med Whistleblower Software

Af Kira Skov Johansen

Indenfor de næste uger lancerer Hulgaard Advokater et nyt produkt, som skal gøre det lettere for virksomheder at implementere whistleblower-ordninger, som er et krav for virksomheder med 250 ansatte eller derover fra den 17. december 2021. Fra den 17. december 2023 gælder kravet også for virksomheder med 50-249 ansatte.

Produktet lanceres i samarbejde med virksomheden Whistleblower Software, som anbefales af bl.a. Danske Advokater.

Nemt at leve op til lovgivningen

Som virksomhed kan det være svært og tidskrævende at sætte sig ind i lovgivning, herunder krav til whistleblower-systemer. Kort sagt kan det være ret irriterende uden den rigtige sparring og (tekniske) løsning.

Vi står sammen med Whistleblower Software klar til at hjælpe jer med at implementere et rigtigt stærkt produkt, som er let at benytte, og vi rådgiver jer i processen.

Vores samarbejdspartner, Whistleblower Software, er et dansk firma, som i øjeblikket er aktivt i 10 lande i EU, hvor deres digitale platforme tilpasses de enkelte landes behov. Her er sikkerheden i fokus, men det er selve brugervenligheden, som giver en unik løsning på markedet i sammenspil med vores rådgivning.

Selv siger CEO Jakob Lilholm fra Whistleblower Software, at netop samarbejder er dét, som giver værdien:

”Vi er privilegeret, at vi gennem partnerskab med bl.a. Hulgaard Advokater sættes sammen med kompetente mennesker. Vi er softwarefolk, som har et rigtig godt produkt i forhold til lovgivningen, men vi kan ikke løse det alene. Her har vi brug for mennesker, som rådgiver og hjælper virksomhederne, og derfor er vi glade for partnerskabet med Hulgaard Advokater”

Unikt produkt med fokus på slutbrugeroplevelsen

Whistleblower Software leverer et rigtigt godt teknisk produkt, som er yderst brugervenligt, da det er nemt at bruge og indberette igennem. Dog kan det ikke stå alene, men du vil som virksomhed stå stærkt med både det tekniske produkt og juridisk assistance til håndtering af indberetninger.

Effektiv og omkostningslet løsning

Dette whistleblower-produkt hjælper dig således hele vejen rundt om whistleblower-problematikken, men uden det koster spidsen af en jetjæger – det er grundprincippet og som, ifølge Jakob Lilholm fra Whistleblower Software, har skabt et unikt produkt på markedet.

” Dengang vi startede, var der kun bygget store og komplicerede løsninger målrettet de store virksomheder og derfor tænkte vi, at alle de ikke-kæmpe virksomheder måtte mangle en løsning indenfor ret kort tid. Vi har skabt en billigere løsning, hvor mange deler prisen, fremfor at enkelte store virksomheder tager hele læsset – det er vigtigt for os” forklarer Jakob Lilholm.

Teknisk er det således mere effektiv og omkostningslet løsning end meget andet på markedet, men som stadigvæk giver en unik og sikker løsning.

Vi vil de kommende uger lancere produktet, og vi glæder os meget til samarbejdet med Whistleblower Software.

Har du yderligere spørgsmål allerede nu så kontakt enten advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller advokat Marcus Gangdal på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk

Fokus på cookieløsninger

Af Marcus Gangdal

Datatilsynet har i 2021 fokus på bl.a. behandling af personoplysninger om hjemmesidebesøgende (cookies). Dette sker formentligt fordi virksomheder længe har stået overfor et valg mellem en lovlig cookieløsning og en effektiv cookieløsning. I denne artikel vil vi derfor kort opridse nogle af de løsninger, som vi ved ikke er lovlige, og nogle, der potentielt vil blive underkendt i fremtiden.

Har du styr på kravene til et cookiesamtykke?

Man skal indhente et samtykke fra besøgende på ens hjemmeside, inden man placerer cookies, ud over cookies, der er nødvendige for at en hjemmeside kan fungere.

Kravene til et gyldigt samtykke er netop et område, der har givet og fortsat giver mange udfordringer. Virksomheder, der investerer i online markedsføring, har stor interesse i at kunne placere cookies. Dette for at kunne målrette annoncer så effektivt som muligt.

Niveauet af besøgende på ens hjemmeside, der afgiver et samtykke, er derfor også blevet et direkte konkurrencemeter for mange virksomheder. Den valgte cookieløsning skal derfor have en så høj samtykke-rating som muligt.

Hvad sker der, hvis de samtykker, man indhenter, ikke er lovlige?

En ulovligt sat cookie straffes med bøde. I de fleste tilfælde vil brugen af cookies også være lig med behandling af personoplysninger. Dette fordi der ved brug af cookies ofte opsamles IP-adresser, og IP-adresser som hovedregel anses for at være personoplysninger.

En sådan ulovlig behandling kan straffes efter databeskyttelsesreglerne. Ifølge Datatilsynets nye bødevejledning ved vi, at behandling uden et gyldigt samtykke er en kategori 5 forseelse, der dækker over mere alvorlige overtrædelser.

Bøder er en ting, men mere alvorligt kan det være, hvis de indsamlede samtykker er ugyldige, og en virksomhed tillige mister et kæmpe markedsføringspotentiale.

Lidt baggrundsviden om reglerne

For at man må anvende cookies via ens hjemmeside, skal man indhente et samtykke fra de besøgende, medmindre de satte cookies er nødvendige, for at hjemmesiden kan fungere. For at et samtykke er gyldigt, er der dog en lang række krav, det skal overholde.

Kravene til et gyldigt samtykke er delvist defineret i reglerne om cookies, som findes i e-Privacy direktivet (der i Danmark er implementeret i cookiebekendtgørelsen) samt databeskyttelsesforordningen (GDPR). Planen fra EU’s side var, at bl.a. cookiereglerne skulle være opdateret sammen med databeskyttelsesreglerne i 2018, så der ikke opstod uhensigtsmæssige situationer.

Desværre blev der ikke opnået enighed om, hvordan en ny lov vedr. bl.a. cookies skulle se ud, hvilket har ledt til mange frustrationer i bl.a. markedsføringsindustrien. Den såkaldte e-Privacy forordning, som skulle tage hånd om problemerne, er fortsat ikke faldet på plads.

Det betyder, at vi i dag må se på de gamle regler i e-Privacy direktivet/ cookiebekendtgørelsen, der henviser til kravene til et gyldigt samtykke i databeskyttelsesreglerne, når vi vil bruge cookies.

Nogle konkrete typer af cookieløsninger

• ”Ved at klikke videre accepterer du vores cookies”

Vi støder ofte på cookiebannere, som popper op i på hjemmesiden, og som oplyser, at vi ved at klikke videre på hjemmesiden accepterer brugen af cookies. Denne type løsning er helt åbenbart ikke lovlig. Denne løsning var forud for GDPR accepteret af Erhvervsstyrelsen, men blev underkendt i EU-dommen C‑673/17. Erhvervsstyrelsen har nu ændret praksis og anser ikke længere sådanne løsninger for lovlige.

• ”Accepter alle cookies” eller ”Vis mere”

Den næste type af cookieløsninger er dem, der oftest præsenterer os for 4 mulige typer af cookies, som vi kan acceptere, nemlig nødvendige, præference, statistiske og markedsføringscookies.

I Datatilsynets afgørelse vedr. DMI’s tidligere cookieløsning blev det fastslået, at det ikke var tilladt at gemme disse valgmuligheder bag en ”vis mere”-knap. Med andre ord er det ikke tilladt at lade besøgende blive mødt med valget mellem at acceptere alle cookies eller klikke på en ”vis mere”-knap, for at kunne ændre heri.

• Forudafkrydsede felter

Den næste faldgrube er cookieløsningen, hvor alle felterne er afkrydset på forhånd.

Her kan man enten fravælge de enkelte typer eller blot bekræfte, at de afkrydsede cookies må anvendes. Denne løsning er heller ikke lovlig. Dette blev bl.a. fastslået i EU-dommen C‑673/17. Domstolen henviste til, at et samtykke til cookies ikke er gyldigt afgivet, når cookies tillades ved hjælp af et forudafkrydset felt, som brugeren skal vælge fra for at nægte at give sit samtykke.

• ”Accepter alle cookies” eller ”Accepter udvalgte cookies”

Efter afsigelsen af dommen vedr. forudafkrydsede felter begyndte der at komme nye ”grå-zone” løsninger, hvor kun de nødvendige cookies er obligatoriske og forudafkrydset i overensstemmelse med loven. De øvrige typer cookies kan frit tilvælges.

Når man har afkrydset de cookies, som man vil acceptere, kan man vælge mellem to knapper. Enten kan man tillade de udvalgte cookies (dem man selv satte kryds ved), alternativt kan man tillade alle cookies.

Fidusen her er, at ”Samtyk til alle”-knappen er highlightet, mens den anden er utydelig. De fleste besøgende vil her helt instinktivt klikke på ”Samtyk til alle”. Der har længe været stor debat om, hvorvidt en sådan løsning er lovlig.

Dette forventes da også afklaret, når vi engang får erstatningen til e-Privacy direktivet og cookiebekendtgørelsen. Indtil da er Rådet for Digital Sikkerhed, Erhvervsstyrelsen og Datatilsynet dog kommet med en bemærkning hertil i deres nye ”Quick-guide til at sætte cookies”.

Heri står der, at man ikke må ”nudge brugerne til at samtykke f.eks. gennem knappers størrelse, farve og placering”. Meget tyder derfor på, at disse løsninger også er ulovlige i Datatilsynets øjne.

Hvad kan du gøre?

For at et cookiesamtykke anses for gyldigt, skal den besøgende have kontrollen herover. Det er dog tydeligt at se på de mange forskellige cookieløsninger, at der ikke er klarhed over, hvor grænsen går. Der er fortsat mange spørgsmål, der ikke er afklaret, og som forhåbentligt bliver adresseret i den nye EU-lovgivning. Eksempelvis er det væsentligt, om et samtykke er ugyldigt, hvis man blokerer adgangen til en hjemmeside, indtil den besøgende har taget stilling til brugen af cookies.

Indtil da anbefales virksomheder at gøre sig overvejelser om, hvorvidt det er værd at bevæge sig i en grå-zone, når konsekvensen kan blive en masse tabt arbejde. Afhængigt af omstændighederne kan det også være værd for virksomheder, der køber sig til onlineløsninger, at gennemgå eventuelle kontraktbetingelser, som beskriver, hvem der bærer ansvaret for, at cookieløsningen er lovlig. En bøde kan man ikke overvælte på en leverandør, men det kan ikke afvises, at et erstatningskrav for et evt. tab kan gøres gældende.

Hvis du vil vide mere, er du velkommen til at kontakte Marcus Gangdal på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk.

Af: Marcus A. Jensen

Grundet coronavirussen (COVID-19) arbejder rigtigt mange hjemmefra, men man må huske på, at de persondataretlige regler også gælder andre steder end på arbejdspladsen. I dette oplæg vil vi komme med nogle tips til at beskytte personoplysninger fra hjemmearbejdspladsen. 

Konkrete tiltag

For arbejdsgivernes vedkommende er det en rigtig god ide at sikre sig, at virksomheden har indført retningslinjer for hjemmearbejde. Herved kan virksomheden sikre, at der også på medarbejdernes hjemmearbejdsplads træffes de fornødne sikkerhedsforanstaltninger, som krævet af databeskyttelsesforordningen. Det vil være en rigtig god ide, at genfremsende de relevante retningslinjer til de hjemmearbejdende medarbejdere, hvis man allerede har udarbejdet nogen. Ellers bør virksomheden snarest få udarbejdet retningslinjer for hjemmearbejde og orientere medarbejderne.

Det er op til den enkelte virksomhed at vurdere hvilke sikkerhedsforanstaltninger, der er behov for. Vi vil imidlertid give nogle eksempler her, målrettet den enkelte medarbejder: 

Cloud og netværksadgang

• Sørg for, at du som medarbejder kender processerne for fjernadgang og tester, at de virker (f.eks. VPN, fler-faktor autentifikation osv.)
• Hvor det er muligt, skal du kun bruge den anviste sikre adgang til fagsystemer (VPN, direkte opkobling eller andre sikre services) og overhold organisatoriske regler og procedurer for sky- eller netværksadgang, log-in og datadeling.
• Hvis du arbejder uden cloud- eller netværksadgang, skal du sikre dig, at alle lokalt lag-rede data sikkerhedskopieres tilstrækkeligt på en sikker måde.

Enheder

• Vær ekstra omhyggelig med, at enheder, f.eks. USB’er, telefoner, bærbare computere eller tablets, ikke går tabt eller placeres forkert.
• Sørg for, at enhver enhed har de nødvendige opdateringer, f.eks. operativsystemopdateringer (som iOS eller Android) og software-/antivirusopdateringer.
• Sørg for, at din computer, bærbar computer eller anden enhed bruges på et sikkert sted, f.eks. hvor du kan holde øje med den og minimer, hvem der ellers kan se skærmen, især hvis du arbejder med følsomme personoplysninger.
• Lås din enhed, når du forlader den.
• Sørg for, at dine enheder er slukket, låst eller opbevares omhyggeligt, når de ikke er i brug.
• Sørg for at du bruger effektive adgangskontroller (f.eks. Multifaktor-godkendelse og stærke adgangskoder), og hvor det er muligt, kryptering for at begrænse adgangen til enheden og for at reducere risikoen, hvis en enhed bliver stjålet eller forkert placeret.
• Hvis en enhed mistes eller bliver stjålet, skal du straks tage skridt for at blokere eller slette enhedens indhold, såfremt det er muligt.

E-mails

• Følg alle relevante politikker i din organisation omkring brugen af e-mail, mens du arbejder hjemme.
• Brug din arbejdsmailadresse frem for en evt. personlig mailadresse til arbejdsrelaterede formål, der involverer personoplysninger. Hvis du skal bruge personlig mailadresse, skal du sørge for, at indhold og vedhæftede filer er krypteret, og undgå at bruge personoplysninger eller fortrolige data på emnelinjer.
• Inden du sender en e-mail, skal du sikre dig, at du sender den til den rigtige modtager, især for e-mails, der involverer store mængder af personoplysninger eller følsomme personlige data.

Opmærksomhed på de øgede trusler

Center for Cybersikkerhed har også bemærket, at man bør være opmærksom på det øgede trusselsbillede, hvor kriminelle prøver at udnytte situationen. De vil f.eks. forsøge at udbrede ransomware og sende phishinglinks og -sms’er, under dække af corona.

Hvis du vil vide mere, er du velkommen til at kontakte Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk.