insights article

Bliv klar til GDPR – step by step

Få inspiration
Tilmeld dig vores nyhedsbrev, og få et fagligt indspark med substans direkte i indbakken.
Del artikel

I næste måned træder EU’s nye persondataforordning, GDPR, i kraft. Men ifølge en undersøgelse foretaget af analyseinstituttet Wilke ved 33% ikke, hvad forordningen går ud på. Selvsamme undersøgelse slår fast, at 55% enten slet ikke eller kun delvist er klar til at håndtere de nye regler. En stærk indikation på, at mange virksomheder ikke når at være compliant til maj.

Del artikel

Men hvad kan din virksomhed gøre for at komme sikkert i mål?

Det får du svaret på her.

6 skridt, der skaber en simpel og økonomisk tilgang til GDPR

For at sikre en enkel og økonomisk effektiv tilgang til GDPR kan din virksomhed med fordel benytte de seks følgende skridt:

  • Identificer og få overblik over, hvor (i hvilke forretningsområder) I behandler personoplysninger.
  • Vurder, hvordan I behandler personoplysninger i forhold til karakter, sammenhæng, omfang og formål.
  • Vurder graden af de risici, I har identificeret med udgangspunkt i de registreredes rettigheder og frihedsrettigheder.
    Er der tale om:
    a. Lavrisikoområde/-proces
    b. Højrisikoområde/-proces
  • Gennemfør 'passende' tekniske og organisatoriske foranstaltninger – herunder en vurdering af, hvad der i de konkrete situationer er 'passende.
  • Sikr, at I kan demonstrere, at behandlingen af personoplysninger er i overensstemmelse med forordningen. Det indebærer, at I vurderer, hvad der er nødvendig og tilstrækkelig (”passende”) dokumentation i de konkrete situationer.
  • Vurder det acceptable risikoniveau på de væsentligste områder med mulighed for løbende at vurdere, om dette svarer til de faktiske forhold.

Høj- eller lavrisikoområde afgør behovet for procesbeskrivelse

Der er ikke nødvendigvis behov for - eller krav om - en detaljeret proces- eller dataflowbeskrivelse for samtlige processer. I den forbindelse er det vigtigt at fastslå, om der er tale om en aktivitet inden for et høj- eller lavrisikoområde, da det er afgørende for håndteringen og behovet for dokumentation.

Suppleret med den generelle indsats, såsom politikker, læring, databehandleraftaler, IT-behandlingssikkerhed m.v., skal I udarbejde følgende:

Risikofyldte processer

  • Fortegnelse over, hvordan I behandler persondata (Artikel 30)
    • Formål med behandlingsaktiviteter og foranstaltninger til behandlingssikkerheden
  • Beskrivelse af tekniske og organisatoriske foranstaltninger (Artikel 32)
    • Det kan I dokumentere ved hjælp af flowchart og procesbeskrivelse
  • Derudover skal I sikre, at de pågældende foranstaltninger bliver eksekveret effektivt
    • Det kan I gøre ved at efterprøve og kontrollere; en opgave, en Data Protection Officer typisk vil være ansvarlig for.

Andre processer

For de mindre væsentlige lavrisikoområder skal I udføre en begrænset dokumentationsindsats ved at gøre følgende:

  • Fortegnelse over, hvordan I behandler persondata (Artikel 30)
    • Formål med behandlingsaktiviteter og foranstaltninger til behandlingssikkerheden.

Øvrige processer

  • For øvrige processer, hvor I vurderer, at aktiviteten ikke kræver særlig GDPR-dokumentation, skal I ikke foretage jer yderligere.

GDPR stiller også krav til IT

Den nye persondataforordning stiller ikke kun krav til din virksomheds processer, men også til ERP- og IT systemer. Det er derfor ikke nok blot at investere i et nyt system – det kræver fokus på samspillet mellem system og interne processer at håndtere persondata efter de nye regler. På IT-området skal den skriftlige dokumentation omfatte:

  • Proces for, hvordan I behandler anmodninger fra registrerede personer (Artikel 12-23)
    • Eksempelvis hvis registrerede ønsker indsigt i oplysninger og behandlinger eller at få rettet eller slettet sine oplysninger.
    • Udarbejd processer til behandling af klager m.v.
  • Proces for, hvordan I anmelder brud til Datatilsynet (Artikel 33)
    • Etabler interne procedurer for sikkerhedsbrister.
  • Proces for anmeldelse af brud til de registrerede (Artikel 34)
    • Etabler interne procedurer for sikkerhedsbrister.
  • Databehandleraftaler, som sikrer, at IT-leverandører, samarbejdspartnere osv. er compliant (Artikel 28).
  • Data Protection Impact Assessment (DPIA): Konsekvensanalyser, inden I tager nye IT-systemer i brug med store mængder af personhenførbare data med henblik på at minimere risici for den registrerede (Artikel 35).
  • IT-systemer skal indeholde passende standardindstillinger til håndtering af GDPR: Design- and Default-kravet.

Sådan efterlever din virksomhed de nye regler

Det kan være en udfordring at få et overblik over, om din virksomhed lever op til de gældende regler på området. Derfor har Erhvervsstyrelsen udarbejdet PrivacyKompasset.

Det hjælper din virksomhed i gang med at efterleve databeskyttelsesreglerne. Derudover får du svar på helt basale spørgsmål i forhold til korrekt datahåndtering.

Læs mere her: startvaekst.virk.dk/privacykompasset.

Hvad?

Den 25. maj 2018 trådte EU’s persondataforordning med navnet General Data Protection Regulation (GDPR) i kraft.

Hvorfor?

GDPR har som formål at styrke og ensrette databeskyttelsen for individer i EU.

Det siger databeskyttelsesforordningen

Artikel 24, stk. 1: Den dataansvarlige skal, under hensyntagen til behandlingens karakter, sammenhæng, omfang og formål samt sandsynligheden for og graden af de risici, der er for den registreredes rettigheder og frihedsrettigheder, gennemføre passende tekniske og organisatoriske foranstaltninger og kunne demonstrere, at behandlingen af personoplysninger er i overensstemmelse med forordningen.

Artikel 30: Desuden skal den dataansvarlige føre en skriftlig (overordnet) fortegnelse over de behandlinger, der foretages.

IT-behandlingssikkerheden skal ifølge databeskyttelsesforordningen være 'passende'. I Basico forventer vi, at Datatilsynet bl.a. vil benytte ISO 270001 som referenceramme for at vurdere et passende' niveau.

Hvordan definerer du 'passende'?

En stor udfordring for mange virksomheder er at definere 'passende tekniske og organisatoriske sikkerhedsforanstaltninger'.

I forordningen er der kun meget lidt hjælp at hente, og der er ikke nødvendigvis nogle helt klare retningslinjer for, hvad 'passende' er. Dog kan du altid tage udgangspunkt i bonus pater-tankegangen som målestok for 'passende', og hvad der anses som overordnet god skik.

Er du compliant?
For at sikre en enkel og økonomisk effektiv tilgang til GDPR kan din virksomhed med fordel benytte de seks skridt ovenover.
Har du brug for hjælp til GDPR? Kontakt os og hør, hvordan vi kan hjælpe.
Basico nyhedsbrev Få vores faglige magasin Content

I Content finder du masser af inspiration til supportfunktionerne i form af faglige artikler og tankevækkende interviews.