GDPR – tjekliste

GDPR tjekliste

GDPR-tjekliste: 10 ting, du skal have styr på som databehandler

Siden 2018 har det, der tidligere kaldtes EU-Databeskyttelsesforordningen, været gældende i alle lande inden for EU og EØS. Databeskyttelsesforordningen kaldes også GDPR og indeholder en række nye regler om behandling af personoplysninger. I det følgende kan du læse mere om GDPR, og hvordan du kan sikre, at din virksomhed altid lever op til de krav, som stilles i Databeskyttelsesforordningen.

Hvad er GDPR – og hvad er databeskyttelsesforordningen?

Nu spørger du måske ”Hvad betyder GDPR?” – og begrebet kan også virke en kende forvirrende. GDPR er en forkortelse, som står for General Data Protection Regulation, og som på dansk kendes under navnet den europæiske persondataforordning eller databeskyttelsesforordningen.

Databeskyttelsesforordningen er indført for at give borgere kontrol over de personlige oplysninger, som de giver videre til virksomheder, samt sikkerhed for, at disse oplysninger beskyttes på behørig og ensartet vis over hele Europa.

Alle virksomheder, som indsamler og anvender personoplysninger, skal følge disse regler for beskyttelse og behandling af data. Det er således de færreste virksomheder, som ikke har mærket konsekvenserne forbundet med indførelse af databeskyttelsesforordningen.

Hvad er persondata, og hvad er personoplysninger?

Det er i denne sammenhæng vigtigt at være opmærksom på, hvilke oplysninger der hører under persondata eller personoplysninger. Dette er nemlig et vidt begreb, som ikke er begrænset til det, der kaldes følsomme oplysninger, men som også indbefatter navn, e-mailadresse, fysisk adresse, telefonnummer samt bankoplysninger og helbredsinformationer.

Under GDPR er det påkrævet, at en person får mulighed for at give samtykke til, at virksomheden gemmer disse oplysninger i en vis periode. GDPR giver desuden en person ret til at blive ”glemt”, det vil sige ret til at tilbagekalde dette samtykke, såfremt vedkommende ikke længere ønsker at være kunde eller stå opført i et bestemt register.

Med GDPR får brugeren eller kunden således langt større kontrol over sine data, samtidig med at serviceudbyderen eller webshoppen forpligtes til at beskytte kundens data og samtidig kunne dokumentere dataflow. GDPR giver med andre ord brugeren flere rettigheder og stiller høje krav til udbyderen.

Hvad er samtykke?

Samtykke er kundens eller brugerens tilsagn, som gives i forbindelse med, at kunden stiller sine personoplysninger til rådighed for virksomheden. Et typisk eksempel på samtykke er den lille boks, som skal hakkes af, når man accepterer vilkår for et abonnement eller et køb på internettet.

Det er meget vigtigt, at de erklæringer, som udfærdiges til brug for samtykke, er klare og gennemskuelige – og at kunden eller brugeren til hver en tid har mulighed for at trække sit samtykke til opbevaring af persondata tilbage.

GDPR og konsekvenser for virksomheder

Det er vigtigt, at alle virksomheder tager opgaven med at sikre GDPR meget alvorligt. Enhver virksomhed, som indsamler og behandler persondata, er forpligtet til at udpege en GDPR-ansvarlig, som kan varetage opgaven med at sikre overholdelsen af Databeskyttelsesforordningen.

GDPR er ikke blot begrænset til compliance- eller IT-afdelingen, men trækker tråde langt ned i virksomhedens aktiviteter inden for salg og marketing, hvor persondata også behandles. Det er utroligt vigtigt, at GDPR sikres helt ud i de yderste led. Ellers kan det risikere at blive dyrt for virksomheden.

En virksomhed, som ikke overholder kravene til GDPR, kan straffes med en bøde på 4 % af dens årlige omsætning eller tyve millioner euro. Og derfor er det utroligt vigtigt, at du som GDPR-controller eller ansvarlig for datasikkerhed samt behandling og beskyttelse af data hele tiden er up-to-date med GDPR i virksomheden.

I denne GDPR-tjekliste kan du læse 10 gode råd til, hvordan du sikrer overholdelse af reglerne inden for GDPR i din virksomhed.

1. Udpegelse af en dataansvarlig

Det vigtigste punkt på dagsordenen er at få udpeget én person, som er ansvarlig for GDPR i virksomheden. Denne person har til ansvar at sikre, at følgende punkter i resten af GDPR-tjeklisten er overholdt.

2. Sørg for, at det juridiske grundlag er på plads

En af de fremmeste opgaver som ansvarlig behandler af persondata er at sikre det juridiske grundlag for GDPR.

Især i større organisationer er det vigtigt at vedligeholde en opdateret og detaljeret log over de aktiviteter, som udføres i forbindelse med behandling af følsomme oplysninger.

Denne kan indeholde punkter såsom:

  1. Formålet med behandlingen
  2. Typen af data, som virksomheden behandler
  3. Oplysninger om eventuelle tredjeparter, som har adgang til data
  4. Aktiviteter i forhold til databeskyttelse (for eksempel kryptering)
  5. Plan for sletning af data

3. Få styr på virksomhedens data flows

For at din virksomhed skal være GDPR compliant er det vigtigt, at virksomhedens tilstrømning og opbevaring af følsomme oplysninger kortlægges. Du skal kunne dokumentere, hvor data opbevares, hvem der har adgang hertil, samt hvordan og til hvilke formål de følsomme oplysninger anvendes.

4. Datasikkerhed

Hele virksomhedens infrastruktur skal afspejle en velovervejet tilgang til beskyttelse af følsomme oplysninger.

Det betyder, at datasikkerhed skal være et gennemgående element, når det handler om behandling af alle typer persondata. Du bør implementere kryptering af e-mails og til hver en tid sørge for, at IT-systemerne er up to date, hvad angår sikkerhed. Dette kan gøres ved løbende monitorering samt afholdelse af audits med jævne mellemrum.

5. Udarbejdelse af formelle procedurer

Når der foreligger faste procedurer, som kan fungere som vejledninger for dine medarbejdere, vil arbejdet med behandling af persondata på forsvarlig vis lettes betydeligt. Der skal for eksempel foreligge procedurer for sletning af persondata og for håndtering af eventuelle brud på sikkerheden.

6. Gennemgang af dokumentation og erklæringer

Når en bruger skal give samtykke, er det vigtigt, at den erklæring, som brugeren skriver under på eller sætter flueben ved, er acceptabel og udtømmende. Du bør med jævne mellemrum konsultere virksomhedens juraafdeling og tjekke op på gyldigheden af fortrolighedserklæringer og lignende.

7. Databehandleraftale

Der bør foreligge en juridisk gyldig databehandleraftale mellem virksomheden og eventuelle tredjeparter, som forestår behandling af følsomme oplysninger. På den måde sikrer du en ansvarlig behandling af dine kunders eller brugeres persondata – også selv om de opbevares eller behandles andetsteds.

8. Artikel 30-fortegnelsen

Som behandler af persondata er virksomheden forpligtet til at have en artikel 30-fortegnelse, som til hver en tid kan fremvises til Datatilsynet. Denne fortegnelse dokumenterer virksomhedens databehandlingsaktiviteter og skal blandt andet indeholde oplysninger omkring de tekniske og organisatoriske foranstaltninger i forhold til datasikkerhed.

9. Privatlivspolitik

Virksomhedens privatlivspolitik skal tydeligt fremgå såvel på print som digitalt og bør have sin helt egen side på organisationens website.

10. Uddannelse af medarbejdere

Uanset hvor effektivt du sikrer systemerne, er de enkelte medarbejdere altid det svageste led. Du kan med stor fordel lade dine medarbejdere følge et GDPR awareness-kursus. Her vil dine medarbejdere kunne få hjælp til GDPR og lære, hvordan de selv kan bidrage til at beskytte følsomme oplysninger.

Få styr på GDPR med awareness træning

MOCH tilbyder online awareness træning, som kan være til stor nytte i forhold til at sikre overholdelse af GDPR i din virksomhed.

Kontakt os for at høre mere om vores GDPR-kurser og awareness-træning.

Comments are closed.