GDPR med overskud

GDPR står for General Data Protection Regulation, og betyder kort og godt, at vi skal passe på hinandens persondata. Alligevel spørger du måske, om det vedrører dig? Det korte svar er ja.

Hvad siger loven?

Er GDPR relevant for mig?

Hvad skal du gøre?

Er der andet?

Hvordan håndterer vi sikkerhedsbrud?

Hvordan håndterer vi indsigtsanmodninger?

Hvad kræver det?

GDPR er ikke så svært, som mange gør det til. Fokusér på de overordnede hovedformål, så I kun registrerer de samme data én gang. Så giver resten nemlig ofte sig selv.

Kortlægning

Implementering

Drift

1. Persondata

2. Aftaler

3. Risiko

4. Politikker mv.

5. Kontroller

  • formål
  • hjemmel
  • interne brugere
  • eksterne modtagere
  • følsomme, fortrolige eller almindelige data
  • sletning
  • databehandlere
  • underdatabehandlere
  • overførsel til 3. land
  • fortrolighed
  • tilgængelighed
  • integritet

Målt på…

  • konsekvens
  • sandsynlighed
  • medarbejderinstruks
  • databehandleraftale
  • samtykke
  • oplysningspligt
  • cookiepolitik
  • sikkerhedspolitik
  • brud på sikkerhed
  • sikkerhed
  • slettepolitik
  • systemer
  • organisation
  • indsigt
  • risikovurdering
  • tilsyn

5 trin mod større dataansvarlighed

Det kræver vilje, struktur og lidt tid at komme i mål med GDPR-indsatsen – eller rettere, komme hen til Start. For GDPR er ikke kun en kortlægning, det er en løbende proces. Til gengæld er gevinsten bedre overblik, øget effektivitet, højere sikkerhed og ikke mindst større ansvarlighed. Grundlæggende er der fem trin, I skal have styr på…

Det kræver vilje, struktur og lidt tid at komme i mål med GDPR-indsatsen – eller rettere, komme hen til Start. For GDPR er ikke kun en kortlægning, det er en løbende proces. Til gengæld er gevinsten bedre overblik, øget effektivitet, højere sikkerhed og ikke mindst større ansvarlighed. Grundlæggende er der fem trin, I skal have styr på…

Trin 1: Kortlægning af data

Identificér alle de persondata, I gemmer. Hvor ligger de, hvordan opbevarer I dem, hvorfor har I dem – og ikke mindst, hvordan håndterer I dem, internt og eksternt? Husk slettepolitikker.

Trin 2: Kortlægning af aftaler

Er der andre, der har adgang til og behandler jeres persondata? I så fald skal I have en aftale med hver enkelt. Desuden skal I beskrive, hvordan I fører tilsyn med jeres databehandlere.

Trin 3: Kortlægning af risiko

Hvad er konsekvensen for de registrerede ved et sikkerhedsbrud – og hvad er sandsynligheden for det? Vurderingen skal baseres på organisatoriske, tekniske og fysiske risici.

Trin 4: Implementering

GDPR lever i hverdagen, og derfor skal der være styr på medarbejderinstrukser, oplysningspligt inkl. formål og hjemmel, samtykke, retten til indsigt, indsigelser, cookiepolitik og sikkerhedspolitik.

Trin 5: Drift

GDPR-dokumentation skal altid være opdateret, så I dels kan handle ved et sikkerhedsbrud, dels fremvise den interne fortegnelse til Datatilsynet efter behov. Her er løbende kontroller centrale.

Den interne fortegnelse

Kortlægningen i trin 1-3 samles i den interne fortegnelse, der på juridisk også kaldes en artikel 30-fortegnelse. Den er lovpligtig, og dokumenterer, hvordan I opbevarer og behandler persondata.

Den er et dynamisk dokument, der altid skal være opdateret, så den kan fremvises på forlangende, hvis fx Datatilsynet kommer på besøg.

Hændelser & Sikkerhedsbrud

Ved sikkerhedsbrud skal jeres håndtering dokumenteres inkl. afhjælpende foranstaltninger og information til berørte personer. Ved risiko for de registrerede, skal I indberette til Datatilsynet.

Indsigt & Indsigelser

Med stadig flere registrerede persondata stiger også sandsynligheden for, at ansatte, kunder eller andre gerne vil vide, hvad I egentlig har liggende på dem. Det skal der være en helt klar rutine for.

Læs også vores blog om de 5 faser her.

Mød nogle af vores kunder

0
Glade kunder
0
Individuelle brugere
0%
Brancheforeninger
0
Kontroller
0
Uvildige rådgivere

GRATIS: Prøv Lexoforms uden binding i 14 dage

Menu