GDPR-guide: Roller, krav og implementering i organisationen

GDPR handler ikke kun om regler, men om, hvordan organisationer strukturerer deres data, fordeler ansvar og skaber tillid. Her får du et samlet overblik over kravene, og hvordan de omsættes i praksis.

Indholdsfortegnelse

DEFINITION AF GDPR

Hvad er GDPR og hvorfor er det relevant?

GDPR er en forkortelse for General Data Protection Regulation og kan på dansk oversættes til Databeskyttelsesforordningen. Det er en EU-lovgivning, der trådte i kraft d. 25. maj 2018 og regulerer, hvordan personoplysninger må indsamles, opbevares og behandles. 

Persondatabeskyttelse er vigtig, fordi det sikrer individets ret til privatliv og beskytter mod misbrug af personlige oplysninger. GDPR er med til at give den enkelte mere kontrol over egne oplysninger og skaber tillid til, at virksomheder og myndigheder håndterer data på en sikker og gennemsigtig måde.

 

Hvorfor blev GDPR indført?

GDPR blev indført for at beskytte borgernes personoplysninger og ensrette reglerne i EU. Den gamle lovgivning kunne ikke følge med digitaliseringen og den voksende dataindsamling, så GDPR blev skabt for at:

  • give borgere mere kontrol over deres egne data
  • skabe klare regler om virksomheders brug af personoplysninger
  • skabe ensartede regler i hele EU og dermed mindske kompleksiteten for virksomheder.

 

Hvem er omfattet af GDPR?

GDPR gælder for mange forskellige typer af aktører – både inden for og uden for EU:

  1. Alle virksomheder og organisationer i EU
  2. Offentlige myndigheder på alle niveauer – statslige, regionale og kommunale.
  3. Organisationer uden for EU, hvis de tilbyder varer eller tjenester til personer i EU, eller overvåger deres adfærd online.

Derfor er GDPR vigtig

Selvom hypen omkring GDPR ikke er så stor, som den var i årene omkring i 2018, er det stadig et område, som organisationer ikke må glemme og som de løbende skal vedligeholde. 

Det skyldes blandt andet:

  1. Compliancekrav: organisationer skal løbende sikre, at de overholder reglerne.
  2. Datasikkerhed: cybertrusler og datalæk udgør fortsat en stor risiko.
  3. Tillid: gennemsigtig databehandling styrker kunders og borgeres tillid.
  4. Høje bøder: overtrædelser kan medføre store økonomiske sanktioner.

GDPR er derfor både juridiske krav og et strategisk redskab til at beskytte omdømme og styrke relationen til kunder og interessenter.

 

GRUNDLÆGGENDE PRINCIPPER

De 7 principper i GDPR

Persondataforordningen er ikke kun en række juridiske forpligtelser, lovgivningen bygger også på centrale grundprincipper. I Artikel 5 af GDPR findes der gennemgang af de syv principper, som lovgivningen hviler på.

Disse er: 

  1. Lovlighed, rimelighed og gennemsigtighed
  2. Formålsbegrænsning
  3. Dataminimering
  4. Rigtighed
  5. Opbevaringsbegrænsning
  6. Integritet og fortrolighed
  7. Ansvarlighed

De syv principper udgør tilsammen fundamentet for al GDPR-compliance. Det betyder, at enhver behandling af personoplysninger skal tage udgangspunkt i disse grundprincipper.

Lovlighed, rimelighed og gennemsigtighed

Princippet om lovlighed, rimelighed og gennemsigtighed understreger vigtigheden af lovlig behandling af persondata. Dette omfatter, at virksomheder skal indhente samtykke for den person, som der indhentes data om.

Derudover fastslår dette princip, at persondata skal behandles sikkert og ud fra best practice. Det skal også være tydeligt for den involverede, hvordan virksomheden behandler data.

 

Formålsbegrænsning

Når en organisation indsamler personoplysninger, skal det ske med et klart og lovligt formål og kun i det omfang oplysningerne er nødvendige til dette formål. Persondata må kun anvendes til de formål, som er fastlagt på indsamlingstidspunktet.

Det er ikke kun samtykke, der kan legitimere brugen af persondata. Andre behandlingsgrundlag kan også være gældende, herunder opfyldelse af en kontrakt, juridiske forpligtelser eller legitime interesser. For eksempel kræver det ikke samtykke at gemme en købsaftale eller bogføre en faktura, da det er nødvendigt for at overholde lovgivning og forretningskrav.

 

Dataminimering

Dataminimering understreger, at virksomheder kun må indsamle de personoplysninger, der er nødvendige for at løse den konkrete opgave. Alt andet bør udelades.

Formålet med dataminimering er at beskytte den registreredes privatliv og reducere risikoen for misbrug eller databrud. Ved at følge princippet om dataminimering kan virksomheden sikre en mere ansvarlig og sikker håndtering af persondata.

 

Rigtighed

Virksomheden har som dataansvarlig et ansvar for at sikre, at de personoplysninger, der behandles, er korrekte og tidssvarende. Det indebærer, at virksomheden løbende vurderer, om data stadig er nøjagtige i forhold til det formål, de blev indsamlet til og handler på baggrund af denne vurdering ved at opdatere eller slette dem, hvis det ikke er tilfældet.

Indsatsen skal stå i rimeligt forhold til formålet med behandlingen. Her kan digitale værktøjer være en effektiv hjælp til at automatisere og understøtte arbejdet med datavalidering og sikre overholdelse af princippet om datarigtighed.

 

Opbevaringsbegrænsning

Et af de centrale principper i GDPR er, at personoplysninger kun må gemmes så længe, det er nødvendigt i forhold til det oprindelige formål. Så længe formålet kræver, at de aktuelle data er tilgængelige, kan de opbevares, men når det ikke længere er tilfældet, skal de slettes. Som en del af dette arbejde bør der etableres klare slettepolitikker, som beskriver, hvornår og hvordan data skal slettes.

 

Integritet og fortrolighed

Integritet handler om, at virksomheder skal sikre, at dataene forbliver pålidelige og korrekte over tid, hvilket hænger sammen med princippet om rigtighed.

Fortrolighed betyder, at personoplysninger skal beskyttes mod adgang fra uvedkommende. Det gælder både udefra i form af hacking eller tredjepartsindblanding og indefra gennem begrænsning af medarbejderadgang.

Virksomheden skal derfor implementere nødvendige sikkerhedsforanstaltninger for at opfylde kravene til integritet og fortrolighed.

 

Ansvarlighed (accountability)

Princippet om ansvarlighed handler om, at virksomheder skal være i stand til at dokumentere, at de lever op til reglerne i GDPR. Der findes ikke nogen officielle regler for, hvordan denne dokumentation skal gennemføres. Den enkelte virksomhed skal derfor selv vælge, hvordan de vil dokumentere, at de lever op til kravene i GDPR.

 

Privacy by design

Privacy by design, som på dansk betyder indbygget databeskyttelse, handler om at integrere databeskyttelse direkte i udviklingen af systemer, processer og løsninger. I stedet for at tilføje sikkerhed og privatliv som noget ekstra, bliver det en indbygget del af designet.

Tilgangen bygger på syv grundlæggende elementer, der hjælper organisationer med at forebygge databrud, minimere risici og sikre ansvarlig håndtering af personoplysninger.

Disse er:

  1. Proaktiv frem for reaktiv
  2. Privatliv som standardindstilling
  3. Indlejring af privatliv i designet
  4. Fuldt funktionel
  5. End to end-sikkerhed
  6. Synlighed og gennemsigtighed
  7. Respekt for brugerens privatliv
Type af data

TYPER AF PERSONOPLYSNINGER

Hvilke oplysninger er beskyttet af GDPR?

GDPR skelner mellem forskellige typer af personoplysninger, som hver især har forskellige krav til beskyttelse og behandlingsgrundlag. At kende forskellen er vigtigt, fordi det afgør, hvordan oplysninger må behandles, og hvilke sikkerhedsforanstaltninger der skal iværksættes.

 

Hvad er personfølsomme oplysninger? 

Nogle typer oplysninger kræver en højere grad af beskyttelse, fordi de kan udgøre en særlig risiko for den registreredes rettigheder. Disse kaldes personfølsomme oplysninger (Artikel 9) og omfatter:

  • Race eller etnisk oprindelse
  • Politisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Religiøse eller filosofiske overbevisninger
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Oplysninger om en persons seksuelle forhold eller seksuelle orientering.

Disse er eksplicit afgrænset i persondataforordningen, da der ikke må herske tvivl om denne type personoplysning. For at behandle sådanne oplysninger kræves der nemlig en række behandlingshjemler.

 

Hvad er almindelige personoplysninger?

Almindelige personoplysninger er alle former for oplysninger, der kan bruges til at identificere en person, og som ikke er defineret som følsomme.

Det kan eksempelvis være: 

  • portrætbilleder
  • navn
  • telefonnummer
  • IP-adresse
  • mailadresse

 

Strafferetslige oplysninger 

GDPR omtaler også strafferetslige oplysninger. Artikel 10 fastslår, at behandling af personoplysninger vedrørende straffedomme og lovovertrædelser kun må ske under kontrol af en offentlig myndighed, hvis det er hjemlet i EU-retten eller national ret, der sikrer passende garantier for registreredes rettigheder og frihedsrettigheder.

Behandlingsgrundlag

BEHANDLINGSGRUNDLAG

Hvornår må man behandle personoplydninger?

Ifølge GDPR Artikel 6 må personoplysninger kun behandles, hvis der er et gyldigt retsgrundlag. Organisationer må altså ikke indsamle, opbevare eller bruge oplysninger uden lovlig hjemmel. Der findes seks lovlige behandlingshjemler, som kan anvendes ved databehandling.

 

1. Samtykke: 

Behandling kan ske, hvis den registrerede har givet et frivilligt, specifikt, informeret og utvetydigt samtykke. Dette kræver, at personen aktivt siger ja, og at samtykket nemt kan trækkes tilbage.

 

2. Opfyldelse af kontrakt:

Hvis behandlingen er nødvendig for at opfylde en kontrakt, som den registrerede er part i eller for at gennemføre foranstaltninger forud for indgåelse af en kontrakt kan dette bruges som grundlag.

 

3. Retlig forpligtelse:

Virksomheden må behandle personoplysninger, når det er nødvendigt for at overholde en retlig forpligtelse. Dette dækker eksempelvis opbevaring af regnskabsoplysninger i henhold til bogføringsloven eller indberetning til SKAT.

 

4. Beskyttelse af vitale interesser:

Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons liv eller helbred, fx i nødsituationer, hvor adgang til vigtige helbredsoplysninger er afgørende.



5. Udførelse af opgave i samfundets:

interesse eller offentlig myndighedsudøvelse
Her er behandlingen tilladt, når den er nødvendig for at varetage en samfundsmæssig interesse eller en opgave, eller hvis den udføres af en offentlig myndighed. 



6. Legitim interesse:

Behandling er nødvendig for at forfølge en legitim interesse, som ikke overstiges af den registreredes rettigheder eller interesser. Det kræver en konkret afvejning mellem organisationens behov og hensynet til den registrerede.

Når dette grundlag anvendes, bør organisationen udarbejde en Legitimate Interest Assessment (LIA) for at dokumentere, at interessen er reel, nødvendig og proportional

Plgter og rettigheder

PLIGTER & RETTIGHEDER

Den registreredes rettigheder under GDPR

GDPR giver personer rettigheder, der sikrer kontrol over deres egne oplysninger. Organisationer skal gøre det enkelt at bruge disse rettigheder og som udgangspunkt svare inden for én måned – uden omkostninger for den registrerede. Fristen kan forlænges med op til to måneder, hvis der er en gyldig begrundelse.

Artikel 13 & 14: Ret til oplysning

GDPR giver personer ret til klar og gennemsigtig information om, hvordan deres oplysninger indsamles og behandles – både når oplysningerne indsamles direkte (Artikel 13) og når de indhentes fra en anden kilde (Artikel 14).

Det omfatter blandt andet formålet med behandlingen, hvilke typer data der behandles, hvem oplysningerne deles med, og hvor længe de gemmes.

Artikel 15: Ret til indsigt

Ifølge GDPR Artikel 15 har personer ret til at få bekræftet, om en organisation behandler deres personoplysninger – og i givet fald få adgang til disse oplysninger.

Anmodningen skal som udgangspunkt besvares inden for én måned, men fristen kan forlænges med op til to måneder ved komplekse sager, hvis det begrundes.

Indsigten kan omfatte oplysninger om, hvilke data der behandles, hvor de stammer fra, formålet med behandlingen, og hvem de deles med.


Artikel 16: Ret til berigtigelse

Artikel 16 i GDPR siger, at hvis en registreret opdager fejl i de personoplysninger, som en organisation har om vedkommende, har personen ret til at få oplysningerne rettet eller suppleret.

Hvis den dataansvarlige og den registrerede ikke er enige om rigtigheden af oplysningerne, skal den dataansvarlige notere uenigheden i registreringen.

 

Artikel 17: Ret til sletning

Under visse omstændigheder kan en registreret kræve, at deres personoplysninger bliver slettet. Ifølge Artikel 17 skal et af følgende forhold være gældende, hvis oplysningerne skal slettes:

  1. Oplysningerne er ikke længere nødvendige til det oprindelige formål.
  2. Samtykke trækkes tilbage, og der ikke er andet lovligt grundlag for behandlingen.
  3. Oplysningerne er behandlet ulovligt
  4. Personen gør indsigelse mod behandlingen, og der ikke er tungtvejende grunde til at fortsætte.

Dog findes der undtagelser, for eksempel hvis personoplysninger skal gemmes af hensyn til en retlig forpligtelse.

 

Artikel 18: Ret til begrænsning af behandling

Ifølge artikel 18 kan en registreret kræve, at behandlingen af deres personoplysninger midlertidigt begrænses, så de kun opbevares og ikke bruges til andre formål. Artikel 18 i GDPR beskriver de situationer, hvor denne ret kan gøres gældende.

Det drejer sige om følgende omstændigheder:

  1. Oplysningernes rigtighed er omtvistet.
  2. Behandlingen er ulovlig, men personen ikke ønsker sletning
  3. Organisationen ikke længere har brug for dataene, men personen har brug for dem i forbindelse med retskrav.
  4. Personen har gjort indsigelse, og sagen er under behandling.

 

Artikel 19: Artikel 19 i GDPR: Undretningspligt ved ændringer

Når en organisation har berigtiget eller slettet personoplysninger – eller begrænset behandlingen – er den forpligtet til at informere alle modtagere, som tidligere har modtaget oplysningerne. Det fremgår af artikel 19 i GDPR. Den registrerede har desuden ret til at få oplyst, hvilke modtagere der er blevet underrettet, hvis vedkommende anmoder om det.

 

Artikel 20: Ret til dataportabilitet 

Artikel 20 i GDPR giver personer ret til at modtage en kopi af de personoplysninger, de selv har givet til en organisation, og til at få dem overført direkte til en anden dataansvarlig, hvis det er teknisk muligt.

Retten gælder kun, hvis oplysningerne behandles automatisk og enten er baseret på samtykke eller nødvendig for at opfylde en kontrakt, som personen er part i. Den omfatter kun oplysninger, som personen selv aktivt har afgivet.

Oplysningerne slettes ikke automatisk hos den oprindelige dataansvarlige ved overførsel, medmindre den registrerede også anmoder om sletning. 

 

Artikel 21: Ret til indsigelse

Artikel 21 giver en den registrerede ret til enhver tid gøre indsigelse mod behandlingen af sine personoplysninger. Herefter skal den dataansvarlige vurdere indsigelsen og afgøre, om der er grundlag for at fortsætte eller stoppe behandlingen.

 

Artikel 22: Ret til ikke at være genstand for automatiske afgørelser

Artikel 22 giver den registrerede ret til ikke at få truffet afgørelser, der udelukkende er baseret på automatisk behandling af deres personoplysninger – herunder profilering – hvis afgørelsen har retsvirkning eller lignende væsentlig betydning for vedkommende.

1. billede til Pillarpage

ROLLER & ANSVAR

Dataansvarlig og databehandler

For at overholde GDPR er det afgørende at kende de involverede roller og deres ansvar. Det handler ikke kun om at leve op til lovkrav, men også om at sikre, at personoplysninger håndteres sikkert og korrekt gennem hele værdikæden.

Kernen i dette ansvar er at forstå forskellen mellem de to centrale roller i GDPR: dataansvarlig og databehandler.


Hvad er en dataansvarlig?

Den dataansvarlige er den person eller organisation, der har det overordnede ansvar for de personoplysninger, der indsamles og behandles. Det betyder, at det er den dataansvarlige, som skal sikre, at behandlingen lever op til GDPR’s krav.

Den dataansvarlige fastlægger:

  1. Formålet med at indsamle og behandle personoplysninger.
  2. Hvordan oplysningerne behandles i praksis.
  3. Hvem der får adgang til at behandle dem.

Hvis en registreret ønsker at udøve sine rettigheder – fx indsigt eller sletning – er det også til den dataansvarlige det henvende dig.

 

Hvad er en databehandler? 

En databehandler er en ekstern part eller leverandør, der behandler personoplysninger på vegne af den dataansvarlige. Databehandleren handler udelukkende efter den dataansvarliges instruktioner og må ikke selv bestemme formålet med behandlingen. Databehandleren har dog stadig et ansvar for sikre, behandlingen sker i overensstemmelse med GDPR og under hensyntagen til den registreredes rettigheder.

 

Databehandleraftaler – sådan formaliserer I samarbejdet

Når en organisation overlader behandling af personoplysninger til en ekstern part, stopper ansvaret ikke ved at udpege dem som databehandler. GDPR kræver, at samarbejdet formaliseres i en databehandleraftale.

En databehandleraftale er en juridisk kontrakt mellem den dataansvarlige og databehandleren, der sikrer, at behandlingen sker lovligt, sikkert og i overensstemmelse med den dataansvarliges instrukser. Aftalen skal:

  • tydeliggøre roller og ansvar mellem parterne.
  • beskytte de registreredes rettigheder.
  • dokumentere, at kravene til datasikkerhed er opfyldt.

En korrekt udarbejdet databehandleraftale er ikke blot en formalitet. Den er et centralt værktøj til at sikre ansvarlig og dokumenteret databehandling.

Tilsyn med databehandlere

Det er dog ikke nok at have en databehandleraftale. Som dataansvarlig har virksomheder også pligt til at føre tilsyn med jeres databehandlere. Det kan ske på flere måder:

  1. Gennem audits og inspektioner
  2. Brug af spørgeskemaer og dokumentation
  3. Krav til rapportering og compliance reviews
  4. Kontraktlige bestemmelser om tilsyn og opfølgning

Tilsyn bør ikke kun ske ved opstart af en aftale, men den bør være løbende og systematisk. 

 

Overførsel til tredjelande

Selv når samarbejdet med en databehandler fungerer, kan der opstå ekstra krav, hvis leverandøren er placeret uden for EU/EØS – eller bruger underleverandører, der er. Det skyldes, at enhver overførsel af personoplysninger til tredjelande er underlagt særlige GDPR-regler.

I skal derfor vurdere beskyttelsesniveauet i modtagerlandet, typisk gennem en Transfer Impact Assessment (TIA), og sikre, at der er klare aftaler og passende beskyttelsesforanstaltninger på plads.
Som med andre databehandlere handler det ikke kun om at have dokumenterne i orden – der skal også føres løbende tilsyn for at sikre, at kravene efterleves i praksis.

 

Skal I have en DPO?

Når rollerne som dataansvarlig og databehandler er på plads, er næste skridt at vurdere, om I skal udpege en Data protection officer eller på databeskyttelsesrådgiver (DPO).

En DPO fungerer som som en uafhængig rådgiver, der sikrer, at organisationens behandling af personoplysninger lever op til GDPR. Offentlige myndigheder og institutioner skal altid have DPO, mens private virksomheder skal, hvis en af disse betingelser er opfyldt:

  1. Behandling af personoplysninger er en central del af virksomhedens formål
  2.  Behandling sker i et stort omfang
  3. Behandling af følsomme oplysninger og regelmæssig overvågning

DATABRUD

Brud på datasikkerhed: Hvad skal du gøre?

Selv med de bedste sikkerhedsforanstaltninger og intentioner kan et  databrud ske. Det kan være alt fra en e-mail sendt til den forkerte modtager til et avanceret cyberangreb. Fælles for alle databrud er, at de kompromitterer personoplysninger og kan få alvorlige konsekvenser for både de registrerede og virksomheden.

Derfor er det afgørende at reagere hurtigt, begrænse skaden og følge de procedurer, GDPR kræver.

 

Typiske eksempler på brud

Databrud kan ske på mange måde, og nogle af de mest almindelige er:

  1. Fejl i e-mail: Personoplysninger sendt til en forkert modtager.
  2. Cyberangreb: Ransomware eller phishing, hvor uvedkommende får adgang til data.
  3. Fysiske hændelser: Tab eller tyveri af bærbare enheder, USB-nøgler eller papirdokumenter med følsomme oplysninger.

 

Anmeldelsespligt: 72 timer

GDPR kræver, at brud på persondatasikkerheden anmeldes til Datatilsynet senest 72 timer efter, at bruddet er opdaget – medmindre det er usandsynligt, at hændelsen indebærer en risiko for de registreredes rettigheder og frihedsrettigheder.

Hvis bruddet vurderes at udgøre høj risiko for de registrerede, skal de også underrettes direkte og uden unødig forsinkelse. Det gælder eksempelvis ved læk af følsomme oplysninger eller adgang til CPR-numre, hvor konsekvenserne kan være alvorlige.


Incident management: Fra brud til handling

At kende anmeldelsesfristen på 72 timer er én ting – at kunne reagere effektivt inden for tidsrammen er noget helt andet. Her er en incident management-proces afgørende.

En effektiv proces skal:

  • muliggøre hurtig identifikation og vurdering af brud.
  • sikre korrekt intern håndtering og afhjælpning.
  • garantere rettidig og korrekt ekstern anmeldelse.
  • dokumentere hele forløbet løbende.

En god proces reducerer ikke kun risikoen for gentagelser, men viser også over for tilsynsmyndighederne, at organisationen tager datasikkerhed alvorligt.

Uanset hvad, så skal alle brud skal dokumenteres - også dem, der ikke anmeldes. Det betyder, at selv mindre hændelser, som vurderes uden risiko, skal registreres, så I kan fremvise vurderingen ved en eventuel kontrol.

DOKUMENATIONSKRAV & COMPLIANCE

Central dokumentation 

GDPR-compliance handler om at beskytte personoplysninger og dokumentere, hvordan det sker. Ifølge ansvarlighedsprincippet (Artikel 5, stk. 2) skal I altid kunne påvise overholdelse med struktureret dokumentation, der er klar til deling med Datatilsynet eller andre myndigheder.

 

Artikel 30-fortegnelser over behandlingsaktiviteter

Ifølge  artikel 30 i GDPR skal både dataansvarlige og databehandlere føre et detaljeret register over, hvordan personoplysninger behandles. Registret danner grundlag for kontrol og overblik og er ofte det første, Datatilsynet beder om ved et tilsyn.

Det skal løbende opdateres og kunne fremvises i både digitalt og skriftligt format, men der er ingen faste krav til udformningen.


Databeskyttelsespolitikker og interne procedurer

Organisationen skal kunne dokumentere interne retningslinjer for håndtering af persondata – fx politikker for informationssikkerhed, procedurer ved databrud og processer for at imødekomme registreredes rettigheder.
Det omfatter også dokumentation af behandlingsgrundlag, fx samtykke, hvor det skal kunne påvises, at kravene i GDPR er opfyldt.

Politikkerne må ikke blot eksistere på papir, men skal være implementeret i praksis og kendt af relevante medarbejdere. Deres værdi afhænger af både anvendelse og aktualitet.


Risikovurderinger og konsekvensanalyser (DPIA)

Ved behandlinger med høj risiko for de registreredes rettigheder og frihedsrettigheder kræver artikel 35 i GDPR, at der udarbejdes en Data Protection Impact Assessment (DPIA). Formålet er at identificere og minimere risici ved databehandlingen.

En DPIA indeholder typisk:

  1. En systematisk beskrivelse af behandlingsaktiviteterne og deres formål.
  2. En vurdering af nødvendighed og proportionalitet i forhold til formålet.
  3. Identifikation, vurdering og plan for håndtering af risici.


Slettepolitikker og opbevaringsfrister

GDPR’s princip om opbevaringsbegrænsning betyder, at personoplysninger kun må opbevares, så længe det er nødvendigt for det formål, de blev indsamlet til. Når formålet er opfyldt, skal oplysningerne slettes, anonymiseres eller arkiveres i overensstemmelse med lovgivningen.

Organisationen skal have dokumenterede  slettepolitikker for:

  1. Hvor længe data opbevares for hver behandlingstype.
  2. Hvornår og hvordan data slettes eller anonymiseres.
  3. Hvem der er ansvarlig for rettidig sletning.

Derudover bør slettepolitikker være en aktiv del af organisationens datastyring og baseres på konkrete vurderinger af formål, lovkrav og forretningsbehov.


Dokumentation for håndtering af brud

GDPR kræver, at brud på persondatasikkerheden dokumenteres, herunder vurdering af konsekvenser og eventuel anmeldelse til Datatilsynet inden 72 timer. Registreringen skal give et klart overblik over hele forløbet – fra bruddet opdages, til det er håndteret.

 

Risikovurderinger

En central del af GDPR-compliance er organisationens evne til at gennemføre og dokumentere risikovurderinger. De gør det muligt at identificere trusler mod personoplysningernes sikkerhed og træffe informerede beslutninger om passende sikkerhedsforanstaltninger. Dermed er risikovurderinger ikke blot et dokumentationskrav, men et aktivt redskab i den løbende beskyttelse af registreredes rettigheder.


National lovgivning

GDPR suppleres af national lovgivning. I Danmark gælder den danske databeskyttelseslov, som bl.a. præciserer regler for behandling af CPR-numre, samtykkealder for børn og Datatilsynets rolle. Kendskab til disse forskelle er afgørende for at sikre en korrekt og lovmedholdelig praksis i dansk kontekst.


ISAE 3000-erklæring som ekstra dokumentation

Mange organisationer vælger at styrke deres GDPR-compliance med ekstern revision, fx gennem en ISAE 3000-erklæring. Det er en uafhængig revisorerklæring, der dokumenterer, at organisationen lever op til kravene i GDPR og den danske databeskyttelseslov.

En ISAE 3000-erklæring sender et stærkt signal til kunder, samarbejdspartnere og myndigheder om, at databeskyttelsesarbejdet er struktureret, gennemsigtigt og forankret i ansvarlighedsprincippet.

DATABESKYTTELSE I PRAKSIS

Sådan får du GDPR til at leve i hverdagen

Effektiv GDPR-compliance kræver, at databeskyttelse er en integreret del af organisationens  kultur og hverdag – ikke kun en opgave for et juridisk team. Ansvaret skal deles på tværs af afdelinger, så alle kender deres rolle og handler i overensstemmelse med principperne for databeskyttelse.

Det kan opnås ved at:

  1. Træne og skabe awareness: Gør reglerne relevante for medarbejdernes konkrete opgaver.
  2. Sikre klare og brugbare retningslinjer: Politikker og procedurer skal være lette at finde og anvende.
  3. Udpege lokale kontaktpersoner: GDPR-ambassadører eller superbrugere kan være bindeled mellem drift og compliance.
  4. Involvere ledelsen: Tydelig opbakning fra topledelsen gør databeskyttelse til et fælles ansvar og en strategisk prioritet.

Når GDPR er forankret i både kultur, processer og ansvar, reduceres risikoen for brud, tilliden styrkes – og organisationen står stærkere kommercielt. De rette værktøjer kan understøtte indsatsen ved at effektivisere processer, sikre dokumentation og skabe forretningsmæssig værdi for GDPR.


Derfor er software en nødvendighed i GDPR-arbejdet

GDPR kræver langt mere end at kende de juridiske krav – det kræver overblik, dokumentation og løbende opfølgning. Uden et dedikeret system kan opgaver hurtigt blive uoverskuelige, og vigtige detaljer risikerer at blive overset.

Mange starter GDPR-arbejdet i Excel, Word og via e-mail. Det virker enkelt i begyndelsen, men skaber hurtigt udfordringer:

  1. Svært at skalere, når databehandlingen bliver kompleks
  2. Risiko for fejl, forældet data og manglende versionskontrol
  3. Ingen sporbarhed for ændringer
  4. Manuelle opfølgninger på deadlines og opgaver, som øger risikoen for, at noget overses

Disse udfordringer gør det svært at opretholde det løbende GDPR-overblik, som lovgivningen kræver og svækker samtidig organisationens evne til at dokumentere og bevise sin compliance over for myndigheder, kunder og samarbejdspartnere.

 

Fordelene ved GDPR-software

Når GDPR-arbejdet vokser i kompleksitet, bliver det svært at styre processerne med spredte filer og manuelle opfølgninger. Et dedikeret GDPR-værktøj gør det lettere at bevare overblikket, sikre opfølgning og dokumentere indsatsen – uden at spilde tid på at lede i mapper og regneark.

 

Samler al dokumentation ét sted
Et GDPR-værktøj samler al GDPR-dokumentation i én central platform. Alle arbejder altid med den nyeste version, og I undgår at bruge tid på at finde gamle filer i mails eller delte drev.

 

Automatiserer processer og påmindelser
Automatiske workflows og påmindelser hjælper jer med at overholde deadlines og sikre, at vigtige opgaver ikke glider ud mellem stolene.

 

Skaber overblik over ansvar og status
Platformen giver et opdateret billede af, hvem der gør hvad – og hvor langt I er i processen. Det styrker samarbejdet og gør det nemmere at følge op.

 

Gør jer klar til tilsyn og revision
Med struktureret og let tilgængelig dokumentation kan I hurtigt fremvise bevis for jeres compliance over for myndigheder eller revisorer.

Et GDPR-værktøj fjerner ikke ansvaret for at overholde GDPR – men det gør opgaven mere overskuelig, mere effektiv og mindre risikofyldt. 

GDPR & GRC

En helhedsorienteret tilgang til GDPR

Som det fremgår af de foregående afsnit, berører GDPR langt mere end behandlingsregistre og databehandleraftaler. Databeskyttelse trækker tråde ind i risikostyring, leverandørsamarbejder, interne kontroller, awareness-arbejde og ledelsesforankring.

Derfor giver det sjældent mening at betragte GDPR som et isoleret initiativ. Hvis databeskyttelse adskilles fra organisationens øvrige governance-, risiko- og compliancearbejde (GRC), opstår der let overlap og blinde vinkler – og det bliver vanskeligt at skabe et samlet overblik.

GDPR som en del af GRC-strategien

Når GDPR derimod tænkes ind som en integreret del af GRC-rammen, kan processer og kontroller koordineres på tværs af områder. Det reducerer dobbeltarbejde, styrker databeskyttelsen og giver et mere effektivt grundlag for både ledelse, dokumentation og prioritering af risici.

Et godt eksempel på den tværgående sammenhæng er koblingen til informationssikkerhed. Artikel 32 i GDPR kræver passende tekniske og organisatoriske sikkerhedsforanstaltninger, og derfor spiller et informationssikkerhedssystem (ISMS – fx ISO 27001) en vigtig rolle i det daglige compliance-arbejde.

Flere elementer går igen i både GDPR og ISMS, fx:

  1. Awareness-træning
  2. Hændelseshåndtering og registrering
  3. Adgangsstyring
  4. Dokumentation og sporbarhed

Denne synergi viser, at GDPR og informationssikkerhed ikke bør behandles som to separate spor – men som integrerede dele af organisationens samlede styring af risiko, sikkerhed og compliance.

 

Fordelene ved en GRC-platform

Et dedikeret GDPR-værktøj er et stærkt udgangspunkt, når målet er at skabe overblik og struktur i databeskyttelsesarbejdet.

Men når organisationen samtidig arbejder med risikostyring, informationssikkerhed og interne kontroller – og ønsker, at processerne hænger sammen – kan en GRC-platform løfte arbejdet til næste niveau.

En GRC-platform samler alle complianceområder i ét styringsmiljø, hvor data kun registreres én gang og genbruges på tværs af politikker, kontroller og rapportering. 

Det giver:

  1. Automatisering af tidskrævende manuelle opgaver.
  2. Centraliseret dokumentation og bedre sporbarhed ved tilsyn.
  3. Klarhed over roller og ansvar, hvilket øger effektivitet og ansvarlighed.
  4. Ledelsesoverblik, så risici og indsatsområder hurtigt kan identificeres og prioriteres.

På den måde bliver GDPR en naturlig del af den samlede GRC-ramme – og databeskyttelse understøtter både effektiv drift, risikostyring og tillid til organisationen. 

GDPR samlet ét sted med RISMA

De fordele, en GRC-platform giver på tværs af compliance, kan I omsætte direkte i GDPR-arbejdet med RISMA. Platformen samler alt ét sted og understøtter de processer, der ellers er svære at fastholde i regneark og mails.

Med RISMA kan I:

  • Automatisere opgaver og påmindelser, så deadlines og ansvar ikke glider ud af syne.
  • Få central dokumentation med fuld sporbarhed, altid opdateret og klar til tilsyn eller revision.
  • Skabe gennemsigtighed i roller og ansvar, så compliance ikke afhænger af enkeltpersoner.
  • Følge status og indsatsområder i dashboards, der giver overblik på tværs af organisationen.

Samtidig kan I udvide platformen med andre complianceområder som ISO 27001, interne kontroller og NIS2. Med RISMAs GRC-platform kan I løbende bygge videre på jeres setup, så det udvikler sig i takt med virksomhedens behov og vækst.

Tag jeres eksisterende GDPR-arbejde med ind i RISMA

Mange starter GDPR-arbejdet i Excel eller Word – og det behøver I ikke kassere. Med RISMA kan eksisterende registre og dokumenter migreres direkte ind i platformen, så fundamentet bevares, men samtidig løftes ind i en ramme, hvor arbejdet bliver mere overskueligt, effektivt og sikkert. For at sikre en smidig overgang følger vi en struktureret proces:

  • Dataevaluering og -rensning – vi gennemgår og kvalitetssikrer det eksisterende materiale
  • Data mapping og strukturering – data tilpasses til den nye ramme
  • Systemkonfiguration og tilpasning – platformen sættes op efter jeres behov
  • Datamigrering og validering – materialet flyttes og kontrolleres
  • Uddannelse og support – jeres team klædes på til at arbejde effektivt i løsningen

Når GDPR-arbejdet bliver systematisk og dokumenteret, reduceres risikoen for fejl – men det sender også et vigtigt signal til kunder, samarbejdspartnere og myndigheder om, at I tager databeskyttelse alvorligt. Med RISMA bliver compliance ikke kun et krav, men et aktiv, der styrker både tillid og forretning.

Klar til at gøre GDPR overskueligt?

Lær hvordan RISMA gør GDPR-arbejdet overskueligt for dig og din organisation med en guidet tilgang.

Book demo
Learn how we can fit into your business