Sikkerhed omkring videomøde og videokonference software GDPR

Der findes rigtigt meget software til videomøder eller videokonference.
Om det er sikkert eller GDPR compliant kan være en jungle og hvad skal du vælge?

Hvad ofte bliver til den største usikkerhed er ikke softwaren i sig selv, men hvordan du anvender softwaren.
Har du f.eks. opsat softwaren til at gemme videofilerne eller gør den det uden at du ved det, til en lokalt mappe.
Det er vigtigt at du er afklaret mht. software opsætning og filhåndtering.

Du kan være proaktiv og gøre dokumenter og arbejdsproces klar for datatilsynet. Du kan oprette et dokument med din tilkendegivelse om hvordan du arbejder med online videomøder og hvordan du har opsat din software og om du gemmer. noget lokalt eller i cloud. Datastrøm analyse mv.

Nogle af de største systemer er også de mest interessante for hackers.
F.eks. har Zoom haft meget travlt pga. af deres medvind efter lockdown og at de har skrevet deres eget system.
Mange andre systemer bygger på den samme grundkode.

Det afgørende er, at virksomheden overholder bl.a. Persondataforordningens Artikel 33 og 34.

Artikel 33

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

  1.  Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.
  2. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.
  3. Den i stk. 1 omhandlede anmeldelse skal mindst:
    a) beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
    b) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
    c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
    d) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
  4. Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.
  5. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.

Artikel 34 

Underretning om brud på persondatasikkerheden til den registrerede

  1. Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.
  2. Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b), c) og d).
  3. Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:
    a) den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering
    b) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel
    c) det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.
  4. Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.


Links til software

GoToMeeting

RingCentral Video

Microsoft Teams

Google Meet

Zoom Meetings

ClickMeeting

Jitsi Meethttps://meet.jit.sihttps://meet.jit.si

U Meeting

BigBlueButton

Bluejeans Meetings

Lifesize