Selvom mange tror, at GDPR er en uoverkommelig opgave, er det faktisk ikke så svært, som mange gør det til. Med en oppefra-og-ned tilgang skal I ikke kortlægge samtlige processer ”på gulvet”, men kan i stedet nøjes med at fokusere på de overordnede hovedformål, så I kun registrerer de samme data én gang. Så giver resten nemlig tit sig selv.
Det kræver vilje, struktur og lidt tid at komme i mål med GDPR-indsatsen. Eller rettere komme hen til Start. For GDPR er ikke kun en kortlægning – det er en løbende opgave. Til gengæld er gevinsten bedre overblik, øget effektivitet, højere sikkerhed og ikke mindst større ansvarlighed.
Grundlæggende er der fem trin, I skal have styr på…
Trin 1: Kortlægning af data
I stedet for at kortlægge alle mulige og umulige processer på alle niveauer, er det langt lettere at tage udgangspunkt i de IT-systemer, I allerede bruger, og så arbejde sig ned herfra. Dels ligger 90% af de relevante data her, dels giver denne oppefra-og-ned tilgang langt hurtigere et godt overblik.
Det handler om at identificere hvilke personhenførbare oplysninger, I gemmer hvor og hvorfor. Men det handler også om, hvordan I håndterer dem. Både internt og eksternt.
Endelig skal I have en slettepolitik for de personoplysninger, I ikke længere kan gemme med gyldig hjemmel. Med tydelige kriterier for hvornår hvilke personoplysninger slettes.
Trin 2: Kortlægning af aftaler
Alle med et CVR-nummer er som udgangspunkt dataansvarlige. Desuden arbejder mange sammen med partnere, der får adgang til de personoplysninger, de opbevarer. Og det skal der være styr på.
Som dataansvarlig skal I have aftaler med alle jeres databehandlere – og hvis I også selv optræder som databehandler, skal I tilmed have styr på de databehandleraftaler, I selv har med jeres kunder.
Sidst men ikke mindst skal det være defineret og beskrevet, hvordan I fører tilsyn og/eller kontrol med jeres databehandlere. Som en tommelfingerregel er det den dataansvarlige, der fører tilsyn/kontrol med sine leverandører (databehandlere/underdatabehandlere).
Trin 3: Kortlægning af risiko
Uanset hvad I gør, er der altid en risiko for, at noget går galt. Faktisk skyldes langt de fleste data-brud menneskelige fejl som fx at sende en mail til en forkert modtager. Det skal der være styr på!
Derfor er det vigtigt at afdække risikoen ved et sikkerhedsbrud. Dette gøres dels ved at vurdere, hvad konsekvensen for de registrerede i givet fald vil være, dels hvad sandsynligheden for at et sikkerhedsbrud indtræffer, er. Vurderingen af sandsynligheden baseres på de organisatoriske, tekniske og fysiske risici.
De tekniske og systemmæssige risici handler om, at alle it-systemer er så sikre som muligt. Fra it-arkitektur til den konkrete brug af kryptering, passwords, firewall, antivirus og backup mv.
De organisatoriske risici handler om, at alle relevante medarbejdere ved, hvad de skal gøre, hvorfor og ikke mindst hvordan. Her er den løbende træning i daglige rutiner vigtig (medarbejderinstruks).
De fysiske risici handler om bygninger, lokaler og udstyr, herunder alarmer, hegn, aflåste enheder samt eventuel overvågning. Alt dette skal kortlægges med fokus på at minimere risikoen for et sikkerhedsbrud.
Trin 4: Implementering
Når alle de basale ting som data, aftaler og risici er kortlagt, er det på tide at tage værktøjskassen under armen og få tingene indarbejdet i dagligdagen.
Internt skal alle medarbejdere vide, hvordan de skal håndtere hvilke data, uanset om de sidder i økonomi, HR, IT, indkøb, salg og marketing eller kundeservice. Her er medarbejderinstruksen en stor hjælp til at sikre, at alle i hele organisationen ved, hvordan de skal forholde sig til persondata.
Som dataansvarlig har I pligt til at oplyse alle registrerede om jeres håndtering af deres persondata samt deres rettigheder. Hvilke personoplysninger opbevarer I, og hvad skal de bruges til? Hvad er formål og hjemmel, og hvilke interne og eksterne brugere har adgang til hvilke data?
Bruger I persondata til andet end det, folk som udgangspunkt har givet deres accept til (som fx et nyhedsbrev), skal I sikre jer, at de aktivt giver deres samtykke til dette.
Endelig skal I informere om hvor længe, I opbevarer de pågældende personoplysninger, ligesom I skal informere om retten til indsigt, berigtigelse, begrænsning, udlevering, sletning og klage.
Det omfatter både de personoplysninger, I indsamler via jeres hjemmeside (fx formularer og cookies), men også dem, I får fra ansøgere, ansatte, kunder, leverandører og samarbejdspartnere.
Et sidste meget vigtigt punkt er sikkerheden, hvor I skal have en defineret sikkerhedspolitik, ligesom I skal have beredskabsplaner for hvad I gør, hvis der opstår et databrud, eller hvis I får indsigelser eller anmodninger om indsigt fra fx nuværende eller tidligere kunder eller ansatte…
Trin 5: Drift
Det er først, når I har styr på data, databehandlere, risici, kommunikation og sikkerhed at det reelle arbejde med GDPR begynder. I skal nemlig løbende holde øje med, at alt til enhver tid er up-to-date inkl. planlægning og gennemførsel af relevante tiltag – både manuelle og automatiske.
Det kan fx være ny software, ansøgere, nye kunder, opsagte medarbejdere, ændrede rutiner, nye bygninger, opdateringer, gennemgang af risikovurdering og personoplysninger, der skal slettes.
Alle disse kontroller skal defineres og planlægges – og ikke mindst udføres. For det hjælper ikke kun at beskrive hvilke kontroller, der skal laves og hvordan. Det skal faktisk også gøres.
Dokumentation
Som tidligere nævnt er GDPR ikke en sport, hvor man kommer i mål. Men når I først har været de grundlæggende trin igennem, er det meget lettere at holde sin dokumentation vedlige. For GDPR er en løbende indsats, hvor alle væsentlige ændringer i fx IT-systemer eller kundebase skal føres ajour, så alle data til enhver tid er opdateret og kan dokumenteres på forlangende – og det gælder både den generelle status samt ad hoc hændelser som indsigtsanmodninger og sikkerhedsbrud.
Den interne fortegnelse
Den samlede dokumentation af jeres kortlægning af data, databehandlere og risici (trin 1-3) samles i den interne fortegnelse, der på juridisk også kaldes en artikel 30-fortegnelse. Den er et lovpligtigt dokument, der dokumenterer, hvordan I behandler de persondata, I som dataansvarlig eller databehandler har indsamlet. Den skal altid være 100% up to date, og er derfor et dynamisk dokument, der skal opdateres hver gang, I foretager en ændring.
Udover at skabe et internt overblik skal den interne fortegnelse også kunne fremvises på forlangende, hvis fx Datatilsynet kommer på besøg og ønsker at se den. Derfor skal den kunne genereres on the fly, hvilket kræver et system, der kan håndtere data i realtid.
Den interne fortegnelse skal både kunne fremvises i rollen som dataansvarlig og databehandler.
Hændelser & Sikkerhedsbrud
Sker der sikkerhedsbrud på persondata skal jeres håndtering af situationen dokumenteres – og hvis hændelsen indebærer risiko for de registrerede, skal hændelsen indberettes til Datatilsynet.
Men uanset om hændelsen skal indberettes til Datatilsynet eller ej, skal den dokumenteres.
Dokumentationen skal indeholde dato og tidspunkt, samt hvad der er sket – og hvorfor. Desuden skal det beskrives hvilke personoplysninger, der er berørt, ligesom der skal laves en risikovurdering af, hvilke konsekvenser bruddet kan få for de berørte personer.
Det skal også dokumenteres, hvilke afhjælpende foranstaltninger der er truffet, ligesom det skal fremgå, hvor vidt Datatilsynet og/eller de berørte personer er informeret – eller hvorfor ikke.
Alle væsentlige beslutninger ifm. databruddet skal med andre ord dokumenteres i en log.
Indsigt & Indsigelser
Med stadig flere registrerede persondata stiger også sandsynligheden for, at ansatte, kunder eller andre gerne vil vide, hvad I egentlig har liggende på dem. Det skal der være en helt klar rutine for.
Derfor skal I have styr på, hvor hvilke data (om alle registrerede) ligger, ligesom I skal have en ansvarlig person, der kan sikre korrekt berigtigelse, begrænsning, udlevering og sletning af data.
Og det hele skal dokumenteres…