Det korte svar: For at overholde GDPR skal jeres virksomhed behandle personoplysninger lovligt, gennemsigtigt og sikkert. Det kræver overblik over jeres data, klare procedurer og de rette tekniske og organisatoriske værktøjer. Uanset om I er en mindre virksomhed eller en international koncern, gælder de samme principper og pligter.
GDPR i praksis
GDPR er EU’s fælles lovgivning om beskyttelse af personoplysninger. Den gælder for alle virksomheder, der behandler data om personer i EU – uanset hvor i verden virksomheden er baseret. Formålet med GDPR er at opnå compliance ved at styrke individets kontrol over egne data og sikre, at virksomheder håndterer data ansvarligt. Derfor indeholder loven både rettigheder for borgere og forpligtelser for jer som dataansvarlig.
"Undersøgelser viser, at næsten 50% af virksomheder har oplevet et cyberangreb."
- Center for Cybersikkerhed
Hvilke typer af data drejer det sig om?
Når vi taler om beskyttelse af data under GDPR og informationssikkerhed generelt, handler det ikke kun om klassiske personoplysninger. Det omfatter flere typer af følsomme data:
Følsomme personoplysninger
Det gælder data om fx helbred, religion, seksualitet, fagforeningsmedlemskab, etnisk oprindelse og biometriske oplysninger. Disse kræver særlig beskyttelse, da misbrug kan have alvorlige konsekvenser for den registrerede.
Personoplysninger og PII (personligt identificerbare oplysninger)
Navn, e-mail, adresse, telefonnummer, IP-adresse og lignende – altså data, der kan knyttes til en bestemt person. Disse oplysninger er omfattet af GDPR og skal behandles med omhu.
Følsomme virksomhedsdokumenter
Det kan også være interne filer med fortrolige oplysninger om medarbejdere, kunder, strategier eller økonomi – fx lønoplysninger, klagesager eller udkast til kontrakter. Selv hvis dokumenterne ikke indeholder persondata, kan de være forretningskritiske og kræve sikker behandling.
Disse data udgør tilsammen det, I som virksomhed bør identificere, beskytte og dokumentere håndteringen af.
Principperne i GDPR
De grundlæggende principper findes i GDPR artikel 5 og bør være fundamentet for jeres databehandling:
-
Lovlighed, retfærdighed og gennemsigtighed: I må kun indsamle og bruge data, hvis I har et lovligt grundlag – og det skal være tydeligt for den registrerede.
-
Formålsbegrænsning: I må kun bruge data til de formål, der blev oplyst ved indsamling.
-
Dataminimering: Indsaml og opbevar kun de data, I reelt har brug for.
-
Nøjagtighed: Sørg for, at data er korrekte og ajourført.
-
Opbevaringsbegrænsning: Slet data, når I ikke længere har brug for dem.
-
Integritet og fortrolighed: Beskyt data mod tab, misbrug og uautoriseret adgang.
-
Ansvarlighed: I skal kunne dokumentere, at I overholder principperne.
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Trin-for-trin GDPR-guide
Dette afsnit beskriver nogle grundlæggende trin man bør betræde for at blive klar til GDPR. De anførte trin er baseret på oplysninger, der er leveret af Publications Office of the European Union her, sammen med vores egne tips.
1. Få overblik over jeres data
Start med at kortlægge, hvilke personoplysninger I indsamler og behandler. Hvor findes dataene (mails, dokumenter, systemer)? Hvem har adgang? Og hvorfor har I dem? Dette kaldes et dataflow eller datakortlægning. Et data discovery-værktøj kan hjælpe jer med at finde følsomme data – både planlagte og glemte.
2. Informér og dokumentér
Folk har ret til at vide, hvad I bruger deres data til. Derfor skal I have gennemsigtige privatlivspolitikker og sørge for, at alle samtykker er dokumenteret og forståelige. Dokumentér også jeres interne dataprocesser, fx hvordan data slettes, hvem der har adgang, og hvordan sikkerhed håndteres.
3. Sæt grænser for opbevaring
GDPR kræver, at data ikke opbevares længere end nødvendigt. Fastsæt slettefrister for forskellige datatyper, fx 5 år for løndata, 12 måneder for leads uden samtykke mv. Implementér automatisk sletning eller arkivering, hvor det er muligt.
4. Sikr data med tekniske og organisatoriske foranstaltninger
Beskyt data mod uautoriseret adgang eller læk. Det kan være med:
-
Kryptering af filer og e-mails
-
Adgangskontrol og rollebaseret adgang
-
Opdaterede systemer og antivirus
-
Klar sikkerhedspolitik for medarbejdere
Husk også at uddanne jeres medarbejdere – de er jeres vigtigste forsvar.
5. Behandl forespørgsler korrekt
Personer har ret til at få adgang til deres data (DSAR), og til at få det slettet, rettet eller overført. I skal reagere inden for 30 dage. Hav en proces for, hvordan I modtager, verificerer og håndterer disse anmodninger.
6. Stil krav til jeres leverandører
Enhver leverandør, der behandler data på jeres vegne (fx cloudtjenester, HR-systemer), skal overholde GDPR.
-
Lav en databehandleraftale (DPA)
-
Undersøg deres sikkerhed og compliance
-
Lav løbende kontrol – især hvis de er uden for EU
7. Udpeg en ansvarlig
Det er vigtigt at have én person, der har overblik over databeskyttelsen – fx en DPO (Data Protection Officer) eller GDPR-ansvarlig. Det er ikke et lovkrav for alle virksomheder, men en god idé, hvis I behandler mange eller særligt følsomme data.
8. Vurder risici ved nye aktiviteter
Inden I starter nye projekter, der involverer persondata (som overvågning, AI eller nye systemer), skal I lave en konsekvensvurdering (DPIA). Den hjælper jer med at identificere risici og sikre, at jeres tiltag lever op til GDPR.
Den nemme vej til at overholde GDPR
GDPR kan virke komplekst, men når I har styr på jeres persondata, adgangsforhold og dokumentation, bliver opgaven langt mere overskuelig. Hos Safe Online har vi udviklet tre værktøjer, der hjælper jer med at overholde GDPR i praksis. Vores værktøjer er udviklet til at støtte jer i de tre mest centrale dele af arbejdet: at finde persondata, dele data sikkert og håndtere dataforespørgsler effektivt. På den måde får I en komplet og praktisk løsning, der gør det langt nemmere at arbejde struktureret med GDPR i hverdagen. Vores værktøjer er:
DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler effektivt
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
