Værd at vide om GDPR

Værd at vide om GDPR

Hvad er GDPR eller Databeskyttelsesforordningen?

GDPR eller på dansk, Databeskyttelsesforordningen eller Persondataforordningen, er lavet for at beskytte personoplysninger. Det er regler, der skal sikre den registreredes rettigheder, når vedkommendes personoplysninger fx bliver behandlet i en kommune eller hos en virksomhed. Der er fx regler for, hvordan de personlige oplysninger må opbevares, og hvor længe en organisation må være i besiddelse af dem. GDPR kan ved første øjekast virke svært at navigere rundt i, men med fx det rette e-learning-kursus i GDPR, kan du og dine medarbejdere hurtigt få styr på reglerne. Hvis oplysningerne ikke bliver håndteret korrekt, kan det have fatale konsekvenser for den person, som oplysningerne tilhører. Det kan også få konsekvenser for den person eller organisation, der ikke har håndteret data korrekt. Derfor er det vigtigt, at reglerne bliver overholdt, da det ellers kan resultere i store bøder og påbud.

Hvis du er interesseret i at se vores e-learning om GDPR, kan du booke en demo.

I denne artikel vil vi gennemgå nogle af emnerne inden for GDPR.

GDPR kort fortalt

GDPR handler kort fortalt om at beskytte personoplysninger. Inden for GDPR skelner man mellem almindelige personplysninger og følsomme personoplysninger.

Hvad er almindelige personoplysninger?

Almindelige personoplysninger kan fx være:

  • Navn
  • Adresse
  • Telefonnummer
  • Arbejdsstilling

Hvad er følsomme personoplysninger?

Følsomme personoplysninger er oplysninger, som har at gøre med emner som: 

  • CPR-nummer 
  • Helbredsproblemer (årsagen) 
  • Racemæssige eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning 
  • Fagforeningsmæssige tilhørsforhold 
  • Behandling af genetiske eller biometriske data med henblik på unik identifikation som fx fingeraftryk 
  • Oplysninger om en persons seksuelle forhold eller seksuelle orientering  
  • Andre forhold, der indikerer unikke personlighedstræk og/eller informationer, der er specifikke for den enkelte.

Dataansvarlig og databehandler

Når du skal overholde reglerne i Databeskyttelsesforordningen/GDPR, er det vigtigt, at du er opmærksom på begreber som ‘dataansvarlig’ og ‘databehandler’.

En dataansvarlig er ifølge Datatilsynets forklaring “en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.” 

En dataansvarlig har pligt til at anmelde et brud på persondataloven inden for 72 timer. Du kan se mere om, hvordan du anmelder et sikkerhedsbrud på Datatilsynets hjemmeside. 

En databehandler er så ”en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne”.

Dokumentation

Du skal kunne dokumentere en række ting i forbindelse med overholdelse af Databeskyttelsesforordningen/GDPR. 

  1. Hvilke personoplysninger behandler du?
  2. Hvorfor behandler du personoplysningene?
  3. Hvordan behandler du personoplysningerne?
  4. Hvor (fx i hvilke systemer) behandler du personoplysningerne?
  5. Hvor længe behandler du persondataoplysningerne? 

Når du har kortlagt processerne for, hvordan du og dine kollegaer behandler personoplysninger, er det tid til at se på, om der skal laves nogle ændringer. Er der fx nogle steder, hvor I skal have en bedre procedure for, hvornår I sletter personoplysninger, som I ikke skal bruge længere?

Brud og konsekvenser

Det er vigtigt at overholde reglerne, da det ellers kan medføre en bøde. Den bødestørrelse, man kan stå over for at skulle betale, afhænger af forskellige faktorer. En bødestørrelse kan svinge fra alt mellem 150.000 kroner, som i sagen med et administrationsselskab, til 1,5 millioner kroner som i sagen om en møbelvirksomhed.

Brud på persondatasikkerheden eller en informationssikkerhedshændelse?

I Databeskyttelsesforordningen defineres et brud som “et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger der er transmitteret, opbevaret eller på anden de behandlet.”

Et brud på persondatasikkerheden er samtidig en informationssikkerhedshændelse. Dette begreb er i ISO 27000-standarden defineret som: 

En identificeret forekomst af en system-, tjeneste- eller netværkstilstand, der indikerer et muligt brud på informationssikkerhedspolitikken eller svigt af kontroller, eller en tidligere ukendt situation der kan være relevant for sikkerheden…

Som Datatilsynet skriver i deres håndbog, som du kan hente her, er det kun “de informationssikkerhedshændelser, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er omfattet af databeskyttelsesforordningens definition af et brud på persondatasikkerheden.”

En informationssikkerhedshændelse er derfor ikke altid et brud på persondatasikkerheden. Fx vil flere forgæves forsøg på log-in være at betragte som en sikkerhedshændelse, uden at der samtidig er tale om et brud på persondatasikkerheden.

Hvis der er tale om en informationssikkerhedshændelse, handler det i nogle tilfælde mere om IT-sikkerhed. Det har vi også lavet e-learning om, som du kan få indblik i her.

4 gode råd om GDPR

1. Brug e-learning om GDPR til at uddanne dine medarbejdere

Sidder du som GDPR-konsulent eller Data Protection Officer (DPO) i en organisation, og har du ansvaret for at uddanne medarbejderne i GDPR? Og tænker du, at det er tidskrævende og omstændigt, hvis du skal undervise alle i organisationen? Det er klart, at det vil tage meget af din tid, hvis du skal afholde fysiske kurser og skal rundt og lære alle om reglerne. Hvis du vælger e-learning til uddannelse af dine medarbejdere, er fordelene mange. Dine medarbejdere kan tage kurset, når det passer dem, og så sparer du tid. Dine medarbejdere slipper for at skulle læse sig igennem en lovtekst med tungt jurasprog, og de kan i stedet lære via en mere involverende oplevelse. Med vores online GDPR kursus kan du med andre ord klæde dine medarbejdere på til at håndtere data korrekt.

Det kan være svært at finde rundt i junglen af kurser i databeskyttelsesforordningen. Hos MOCH vil vi gerne gøre det nemt at få et indblik i kvaliteten af e-learningen, så derfor kan du booke en demo.

2. Brug leverandører, der opfylder kravene til GDPR

Du skal sikre dig, at de leverandører, du bruger, lever op til de krav, som GDPR stiller. Det er fx vigtigt at have en databehandleraftale. Læs mere om, hvordan MOCH som e-learning-leverandør opfylder kravene til GDPR ved at læse om vores ISAE-3000 erklæring.

3. Opbevar kun data, du har brug for

I denne forbindelse er det vigtigt at tænke over, ‘hvad er nice to have?’, og ‘hvad er need to have?’. I mange tilfælde er det ikke nødvendigt at have oplysningerne, efter man har brugt dem i kort tid til en opgave, og så skal de slettes igen.

4. Opbevar fysiske dokumenter med følsomme oplysninger korrekt

  • Hent dokumenterne med det samme, når du har printet dem.
  • Opbevar dokumenterne aflåst, når de ikke er under opsyn.
  • Opbevar dokumenterne i brandsikre skabe.
  • Destruér dokumenterne på en forsvarlig måde, så de ikke kan genskabes. 
  • Opsæt adgangskontrol på lokaler, hvor der opbevares personoplysninger.
  • Vær opmærksom på ubudne gæster på arbejdspladsen.

Opsummering og erfaringer i forbindelse med GDPR

Hvis du er nået til denne del af artiklen, vil vi gerne give dig et virtuelt klap på skulderen. GDPR er et emne i den mere komplekse ende af skalaen, og vi kommer ikke uden om det. GDPR er blevet en vigtig del af manges hverdag, og det er altafgørende for beskyttelse af data, at reglerne på området overholdes.

Vores erfaring er, at det er et effektivt værktøj at lære medarbejderne om reglerne via e-learning, som får dem til at huske dét, der bliver gennemgået. E-learningen bygger på pædagogiske principper for læring og har en høj grad af involvering af kursistenVed hjælp af gamification og praksisnære cases, med eksempler fra hverdagen, bliver kursisten sat til at tage stilling til en række situationer.

Over 350.000 brugere har været igennem vores e-learning om GDPR og hævet vidensniveauet i deres organisation – skal dine medarbejdere være de næste?

FAQ om GDPR

General Data Protection Regulation, som forkortelsen GDPR står for, er en lov, som er til for at beskytte personoplysninger. Loven gælder i Danmark og i resten af EU.

Både store og små virksomheder og organisationer skal forholde sig til GDPR, fordi reglerne har betydning for den person, personoplysningerne tilhører. Reglerne er til for at beskytte EU borgere og deres data, og derfor kan det have konsekvenser for dem, der ikke overholder dem.

I det nedenstående vil vi komme med anbefalinger til, hvordan du bevæger dig tættere på GDPR compliance. Du kan betragte det som en slags guide eller tjekliste i forhold til, hvad du skal være opmærksom på.

GDPR er vigtigt at vide noget om, både som privatperson og som medarbejder, der håndterer persondata i sit arbejde. GDPR er vigtigt for alle typer af virksomheder og organisationer, store såvel som små. Så længe du er i besiddelse af eller på anden måde håndterer andres personoplysninger, har du et ansvar for at overholde GDPR-reglerne. Databeskyttelse handler om sikkerhed for den enkelte, som deler data med virksomheder og organisationer.

GDPR står for General Data Protection Regulation.

Databeskyttelsesforordningen, som officielt hedder persondataforordningen, er en lov, der skal beskytte personoplysninger.

Persondataforordningen, som også kaldes GDPR eller databeskyttelsesforordningen, er en lov, der er lavet for at beskytte personlige oplysninger.

Persondataforordningen eller databeskyttelsesforordningen trådte i kraf25. maj 2018. Da de nye regler trådte i kraft, var der behov for en måde at træne sine medarbejdere i reglerne på, så derfor var vi klar med et e-learning kursus i databeskyttelsesforordningen. 

Du skal have procedurer for, hvordan du behandler personlige data i din virksomhed eller organisation. Du skal vide, hvilke rettigheder den registrerede person har, når du opbevarer data.

Alle fysiske personer er omfattet af databeskyttelsesforordningen.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. De behandler klager og gennemfører tilsyn hos myndigheder og virksomheder.

Rent juridisk er der ikke noget, der hedder personfølsomme oplysninger. Der er i stedet tale om følsomme personloplysninger. Se det andet afsnit om følsomme personoplysninger længere oppe i artiklen.

Inden for GDPR er persondata oplysninger om en fysisk person, som kan bruges til at identificere personen med. Se eksemplerne på følsomme og almindelige persondata længere oppe i artiklen.

Som ejer af en enkeltmandsvirksomhed har du også et ansvar for at behandle personlige oplysninger korrekt. Du kan se mere på virksomhedsguiden.dk.

Hvis du har en webshop, så indsamler du typisk også personlige oplysninger om dine kunder. Derfor skal du være opmærksom på at overholde GDPR-reglerne.

GDPR gælder også for små virksomheder, og reglerne for databeskyttelse stiller en række krav, som skal overholdes, når du indsamler, opbevarer og videregiver personoplysninger om andre, fx dine kunder og dine medarbejdere. Se mere på virksomhedsguiden.dk.

Den centrale uafhængige myndighed, der står for at holde øje med, om GDPR-lovgivningen bliver overholdt i Danmark, er Datatilsynet.

Anonymisering skal sikre, at personoplysningerne ikke længere kan henføres til en bestemt registreret.

Privacy by Design and Default er i databeskyttelsesforordningen på dansk oversat til “databeskyttelse gennem design og databeskyttelse gennem standardindstillinger”. Det betyder med andre ord, at løsninger skal designes sådan, at de i udgangspunktet beskytter persondata. Du kan læse mere i artikel 25 i Databeskyttelsesforordningen. Hvis du vil præsentere det for dine medarbejdere på en anden måde, de skal læse en tung lovtekst, kan de tage modul 9 i vores e-learning.

Comments are closed.