GDPR med overskud
GDPR står for General Data Protection Regulation, og betyder kort og godt, at vi skal passe på hinandens persondata. Alligevel spørger du måske, om det vedrører dig? Det korte svar er ja.
Hvad siger loven?
Er GDPR relevant for mig?
Hvad skal du gøre?
Er der andet?
Hvordan håndterer vi sikkerhedsbrud?
Hvordan håndterer vi indsigtsanmodninger?
Hvad kræver det?
GDPR er ikke så svært, som mange gør det til. Fokusér på de overordnede hovedformål, så I kun registrerer de samme data én gang. Så giver resten nemlig ofte sig selv.
Kortlægning
Implementering
Drift
1. Persondata
2. Aftaler
3. Risiko
4. Politikker mv.
5. Kontroller
- formål
- hjemmel
- interne brugere
- eksterne modtagere
- følsomme, fortrolige eller almindelige data
- sletning
- databehandlere
- underdatabehandlere
- overførsel til 3. land
- fortrolighed
- tilgængelighed
- integritet
Målt på…
- konsekvens
- sandsynlighed
- medarbejderinstruks
- databehandleraftale
- samtykke
- oplysningspligt
- cookiepolitik
- sikkerhedspolitik
- brud på sikkerhed
- sikkerhed
- slettepolitik
- systemer
- organisation
- indsigt
- risikovurdering
- tilsyn
5 trin mod større dataansvarlighed
Det kræver vilje, struktur og lidt tid at komme i mål med GDPR-indsatsen – eller rettere, komme hen til Start. For GDPR er ikke kun en kortlægning, det er en løbende proces. Til gengæld er gevinsten bedre overblik, øget effektivitet, højere sikkerhed og ikke mindst større ansvarlighed. Grundlæggende er der fem trin, I skal have styr på…
Det kræver vilje, struktur og lidt tid at komme i mål med GDPR-indsatsen – eller rettere, komme hen til Start. For GDPR er ikke kun en kortlægning, det er en løbende proces. Til gengæld er gevinsten bedre overblik, øget effektivitet, højere sikkerhed og ikke mindst større ansvarlighed. Grundlæggende er der fem trin, I skal have styr på…
Trin 1: Kortlægning af data
Identificér alle de persondata, I gemmer. Hvor ligger de, hvordan opbevarer I dem, hvorfor har I dem – og ikke mindst, hvordan håndterer I dem, internt og eksternt? Husk slettepolitikker.
Trin 2: Kortlægning af aftaler
Er der andre, der har adgang til og behandler jeres persondata? I så fald skal I have en aftale med hver enkelt. Desuden skal I beskrive, hvordan I fører tilsyn med jeres databehandlere.
Trin 3: Kortlægning af risiko
Hvad er konsekvensen for de registrerede ved et sikkerhedsbrud – og hvad er sandsynligheden for det? Vurderingen skal baseres på organisatoriske, tekniske og fysiske risici.
Trin 4: Implementering
GDPR lever i hverdagen, og derfor skal der være styr på medarbejderinstrukser, oplysningspligt inkl. formål og hjemmel, samtykke, retten til indsigt, indsigelser, cookiepolitik og sikkerhedspolitik.
Trin 5: Drift
GDPR-dokumentation skal altid være opdateret, så I dels kan handle ved et sikkerhedsbrud, dels fremvise den interne fortegnelse til Datatilsynet efter behov. Her er løbende kontroller centrale.
Den interne fortegnelse
Kortlægningen i trin 1-3 samles i den interne fortegnelse, der på juridisk også kaldes en artikel 30-fortegnelse. Den er lovpligtig, og dokumenterer, hvordan I opbevarer og behandler persondata.
Den er et dynamisk dokument, der altid skal være opdateret, så den kan fremvises på forlangende, hvis fx Datatilsynet kommer på besøg.
Hændelser & Sikkerhedsbrud
Ved sikkerhedsbrud skal jeres håndtering dokumenteres inkl. afhjælpende foranstaltninger og information til berørte personer. Ved risiko for de registrerede, skal I indberette til Datatilsynet.
Indsigt & Indsigelser
Med stadig flere registrerede persondata stiger også sandsynligheden for, at ansatte, kunder eller andre gerne vil vide, hvad I egentlig har liggende på dem. Det skal der være en helt klar rutine for.
Læs også vores blog om de 5 faser her.