Der er mange regler og krav, når det kommer til datahåndtering og -opbevaring. Tjek dit GDPR-arbejde her og se, om du lever op til reglerne.
GDPR-compliance – tåler organisationen at blive set efter i sømmene?

GDPR-compliance – tåler organisationen at blive set efter i sømmene?

Time Reading
5 minutters læsning
GDPR

Med GDPR og ISO 27001 er compliance for alvor blevet noget, vi taler om. Der stilles større og større krav til datahåndtering og -opbevaring. Og mens datalæk er noget, organisationer i den grad ønsker at undgå, er en blåstempling af GDPR-arbejdet noget, de fleste drømmer om.

Er drømmen allerede en realitet i din organisation, eller kommer I på udebane, hvis Datatilsynet beslutter sig for at lægge vejen forbi?

Vi har givet persondataforordningen endnu et tjek, og nedenfor får du et udpluk af de ting, du skal være opmærksom på, så din organisation kan leve op til kravene.

1) Personoplysninger og følsomme personoplysninger

GDPR handler i al sin enkelthed om at sikre dine ansattes, kunders og andre parters registrerede personoplysninger. Her er det essentielt at forstå, at der er to typer af oplysninger – nemlig personoplysninger og følsomme personoplysninger.

Førstnævnte består af kontaktoplysninger, fotos, IP adresse etc., mens sidstnævnte drejer sig om race og etnisk oprindelse, politisk og religiøs overbevisning, genetiske data og andre private oplysninger.

Har du styr på, hvilke oplysninger du må behandle, og ikke mindst hvordan de skal behandles? Kan du frembringe dokumentation til Datatilsynet, hvis det er påkrævet?

Hvis ikke, så er det bestemt ikke for tidligt at komme i gang.

LÆS OGSÅ: Sådan kommer du i gang med at blive ISO 27001-certificeret

2) Adgang til personoplysninger

Én ting er, hvordan organisationen håndterer og opbevarer persondata. En anden ting er, hvem der har adgang til dem. Det er kun medarbejdere, som rent faktisk har behov for at bruge personoplysningerne aktivt, der må have adgang til dem. Samtidig er det dit ansvar, at eventuelle tredjeparter lever op til kravene i din virksomhed. Du er nemlig dataansvarlig, mens eventuelle underleverandører er databehandlere.

  • Dataansvarlig – den virksomhed, der bestemmer formålet med behandlingen af personoplysningerne. Det vil sige, at en organisation, der behandler oplysninger om medarbejdere, kunder eller samarbejdspartnere, typisk er dataansvarlig.
  • Databehandler – en virksomhed, der behandler personoplysninger på vegne af den dataansvarlige. Det kan for eksempel være en underleverandør af it-løsninger, lønadministration eller andet, hvor personlige oplysninger om medarbejdere eller kunder er involveret.

Kort sagt er det dit ansvar, at de tilgængelige personoplysninger i din organisation behandles korrekt både internt og eksternt. Og du skal kunne dokumentere det, hvis Datatilsynet kræver det.

LÆS OGSÅ: Sådan opnår din organisation GDPR-compliance

3) Information og samtykke

Du tænker måske, at din organisation ikke behandler persondata – men det gør den. Så snart du har registreret så meget som et navn eller en e-mailadresse i virksomhedsregi, behandler du persondata, og dermed er I omfattet af persondataforordningen.

Alle, der har afgivet personoplysninger til organisationen, har ret til at vide, hvilke oplysninger I noterer, hvad formålet med dem er og ikke mindst, hvor længe I opbevarer dem. Samtidig har de registrerede personer ret til at få slettet eller opdateret data, hvis de ønsker det.

Det er organisationens pligt at informere om rettighederne på kortfattet og letforståelig vis – for eksempel gennem en persondatapolitik.

Spørgsmålet i denne henseende er, om du har helt styr på de informationer, der skal gives de registrerede personer, og ikke mindst om du har fået deres samtykke til at opbevare oplysningerne?

4) Beskyt organisationens data

Som dataansvarlig er det organisationens ansvar, at de personoplysninger, der behandles, er tilstrækkeligt sikret mod tyveri, hackerangreb eller læk. Niveauet af sikkerhed beror på en konkret vurdering af organisationen og følsomheden af de tilgængelige data, og der er tale om både fysisk og teknisk sikkerhed.

Fysisk sikkerhed – dokumenter med personoplysninger må ikke ligge fremme på kontoret, men skal opbevares aflåst.

Teknisk sikkerhed – it-systemer skal være udstyret med de nødvendige sikkerhedsforanstaltninger, og det samme gælder computere, telefoner m.m.

Denne del af GDPR-processen kan være teknisk tung og kræver ofte en it-sikkerhedschef med indblik i systemerne og sandsynligvis også en it-sikkerhedspolitik.

Har din organisation sådan én?

LÆS OGSÅ: Sådan laver du en overordnet politik for organisationens it-sikkerhed

Der er mange spørgsmål, man skal have svar på, og ting, der skal tages stilling til, hvis organisationen skal kunne tåle et tilsyn.

Er du endnu ikke GDPR-compliant, kan du med fordel overveje en systemunderstøttet tilgang og ekstern ekspertise til at blive det. På den måde kan du dokumentere, at I efterlever reglerne.

Logo