Skip to main content

Hjælp til GDPR for små virksomheder

Hvis jeres virksomhed sælger til, leverer tjenester til eller beskæftiger borgere fra EU, så skal I overholde GDPR. Men hvad GDPR kræver egentlig af små virksomheder, og hvordan kan små virksomheder nemt komme omkring GDPR? Kravene vil variere afhængigt af typen af jeres virksomheds samt andre faktorer. Vores anbefalingerne i denne GDPR-guide kan hjælpe jer, hvis I er er mindre virksomhed, med at administrere og beskytte jeres data. Den er dog ikke en garanti for GDPR-compliance.

Vejledning til GDPR

GDPR er en EU-forordning, der har til formål at beskytte privatlivets fred for folks data. GDPR-rettigheder og beskyttelse dækker alle, der bor i EU, sammen med alle EU-borgere, uanset hvor de bor i verden. GDPR indeholder principper og specifikke krav til, hvordan data indsamles og bruges, hvornår og hvordan de kan deles, og hvornår de skal slettes.

Principperne i GDPR

GDPR artikel 5 omfatter en række principper for databehandling. Hvis I og jeres medarbejdere har et godt kendskab til disse principper, vil det være meget nemmere at anvende GDPR og vide, hvad man skal gøre – og hvad man ikke skal gøre – i enhver situation, hvor man håndterer personlige data. Her er en oversigt over GDPR-principperne, og hvad de betyder for jeres virksomhed:

Lovlighed, retfærdighed og gennemsigtighed
Indsaml kun personoplysninger, hvis I har et lovligt grundlag for at gøre det. Gør ikke noget med personlige data, der kan skade eller genere personen. Bedrag aldrig folk med, hvad I gør med deres data.

Formålsbegrænsning
Brug ikke dataene til andre formål end dem, der er angivet i jeres politikker og samtykkeformularer. Slet personlige data, I ikke længere har brug for.

Data-minimering
Indsaml ikke flere data, end I har brug for. Indsaml eller gem ikke personlige og særligt følsomme data, hvis I ikke har brug for det. Ryd op i jeres data regelmæssigt.

Nøjagtighed
Sørg for, at de personlige data, I indsamler, er nøjagtige, og hold de personlige data, I gemmer, opdaterede. Det er en god idé at spørge folk fra tid til anden, om deres oplysninger er ændret.

Opbevaringsbegrænsning
Indstil en opbevaringsperiode for data og hold jer til den. Gennemgå jeres data regelmæssigt. Lad ikke personlige data blive hængende i jeres systemer i det uendelige. Slet det.

Integritet og fortrolighed (Sikkerhed)
Hold folks personlige data sikre. Beskyt databeskyttelse med tekniske foranstaltninger som adgangskoder, ID-bekræftelse og kryptering. Beslut hvilke af jeres medarbejdere og afdelinger der skal have adgang til personlige og følsomme data, og sæt derefter politikker på plads for at sikre, at uautoriserede personer ikke vil se dem.

Ansvarlighed
I er ansvarlig for de data, I og jeres medarbejdere opbevarer. Gem dokumentation for jeres databehandling, opbevaringspraksis og personaleuddannelse for at demonstrere compliance og for at være klar til at give folk information om deres data, når de beder om det.

Typer af beskyttet data

Personlig data
Persondata er defineret som data, der kan knyttes til en bestemt person og bruges til at identificere denne. Dette inkluderer en persons navn, adresse, fødselsdato, IP-adresse og mere.

Følsomme personoplysninger
Følsomme personoplysninger er en specifik kategori af data, der får særlig beskyttelse, fordi videregivelsen kan påføre personen skade eller krænke deres privatliv. Dette omfatter religion, fagforeningsmedlemskab, etnisk oprindelse, biometriske data, DNA osv.

Modtag vores nyhedsbrev!

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

Trin-for-trin GDPR-guide

Dette afsnit beskriver nogle grundlæggende trin, SMV’er kan tage for at blive klar til GDPR. De anførte trin er baseret på oplysninger, der er leveret af Publications Office of the European Union her, sammen med vores egne tips til at gøre compliance lettere.

Trin 1: Find ud af, hvilke data jeres virksomhed har indsamlet og hvorfor
Kortlæg jeres data. Lav en opgørelse over de personlige data, jeres virksomhed har indsamlet, og hvor de er, og hvorfor de er nødvendige. Har I samtykke, eller havde I en legitim grund til at indsamle dataene?

Vores tip: Brug et data discovery-værtøj til at opdage, klassificere og løbende overvåge de følsomme oplysninger, jeres virksomhed har indsamlet.

Trin 2: Informer folk, når I indsamler deres personlige data
Lad folk vide, at I behandler deres personlige data, og fortæl dem hvorfor. Hvis I beder folk om en e-mailadresse på jeres tilmeldingsformularer, skal I sørge for at linke jeres privatlivspolitik og angive specifikt, hvad I agter at gøre med deres oplysninger; for eksempel at I har tænkt jer at sende dem kampagner og nyheder om jeres produkter.

I kan springe dette over i nogle tilfælde, for eksempel hvis nogen bestiller noget hos jer og giver jer en hjemmeadresse til levering. I skal også informere enkeltpersoner om de personoplysninger, I har om dem, efter anmodning og give dem adgang til deres data. At være organiseret med jeres data gør det nemmere at give disse oplysninger rettidigt.

Vores tip: Brug et data-discovery-værktøj til at hente specifikke personers data op med det samme som svar på anmodninger om datasubjektadgang (DSAR’er). Når I modtager dataforespørgsler, kan I tilføje en DSR-portal for at lette administrationen af anmodninger.

Trin 3: Indstil grænser for dataopbevaring, og slet data, I ikke længere har brug for
I bør kun opbevare medarbejderdata så længe ansættelsesforholdet og relaterede juridiske forpligtelser varer. Bevar kundedata så længe kundeforholdet og relaterede juridiske forpligtelser varer. Slet alle personlige data, når I ikke længere bruger dem til de formål, som I indsamlede dem til.

Vores tip: Et data discovery-værktøj kan finde og tage handling på filer, I har gemt i jeres systemer.

Trin 4: Beskyt personlige data
Begræns adgangen til højrisikofiler. Brug kryptering og stærke adgangskoder. Etabler politikker for medarbejdere til at beskytte deres e-mails, cloud-konti, enheder og alle fysiske dokumenter, der indeholder personlige data, for at sikre, at uautoriserede personer ikke kan få adgang til dem.

Administrer tilladelser til filer og mapper, centraliserede sikre placeringer til at gemme jeres filer (OneDrive- eller SharePoint-dokumentbiblioteker) og datakryptering, når I sender eller henter jeres filer.

Vores tip: Et data discovery-værktøj kan fortælle jer, hvilke af jeres medarbejdere der gemmer de mest følsomme data. Start med disse medarbejdere, og sørg for, at alle følger jeres sikkerhedspolitikker.

Trin 5: Dokumenter jeres databehandlingsaktiviteter
Udarbejd et kort dokument, der forklarer, hvilke typer personoplysninger I har, og af hvilke årsager. I kan blive bedt om at stille dokumentationen til rådighed for jeres nationale databeskyttelsesmyndighed, hvis det er nødvendigt.

Et sådant dokument bør indeholde nedenstående oplysninger.

Information Eksempler
Formålet med databehandling Advare kunder om særlige tilbud såsom levering til hjemmet; betalende leverandører; løn- og socialsikringsdækning for medarbejdere
Typer af personlig data Kontaktoplysninger på kunder; kontaktoplysninger på leverandører; medarbejderdata
Kategorierne for de involverede data-subjekter Medarbejdere; kunder; leverandører
Kategorierne af modtagere Arbejdsmyndigheder; skattemyndighederne
Opbevaringsperiode Medarbejderes personlige data indtil udløbet af ansættelseskontrakten (og relaterede juridiske forpligtelser); kundernes personlige data indtil afslutningen af klient/kontraktforholdet
De tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af personoplysningerne IT-systemløsninger opdateres løbende; sikret placering; adgangskontrol; datakryptering; sikkerhedskopiering af data
Om persondata overføres til modtagere uden for EU Brug af en databehandler uden for EU (f.eks. lagring i skyen); dataplacering af databehandler; kontraktlige forpligtelser

Vores tip: Med et data discovery-værktøj kan I få oplysninger, som kan bruges til at demonstrere compliance i tilfælde af revision.

Trin 6: Sørg for, at jeres underleverandører respekterer reglerne
Hvis I udliciterer behandling af personoplysninger til en anden virksomhed, skal I kun bruge en tjenesteudbyder, der garanterer behandlingen i overensstemmelse med kravene i GDPR (for eksempel sikkerhedsforanstaltninger).

Vores tip: Som en del af jeres dataopgørelse, find ud af, hvem jeres databehandlere er, og sørg for, at de er opført i jeres privatlivspolitik.

Start GDPR-oprydningen hvor det trænger mest

Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.

Trin 7: Udpeg en DPO eller tildel nogen til at føre tilsyn med beskyttelsen af persondata
Udpeg en databeskyttelsesansvarlig (DPO), hvis:

  • Hvis behandling af personoplysninger er en kernedel af jeres virksomhed.
  • I behandler data i stor skala.

Små virksomheder er muligvis ikke forpligtet til at udpege en DPO. For eksempel, hvis jeres virksomhed kun indsamler data om jeres kunder til levering til hjemmet, skal I ikke have behov for at udpege en DPO.

Hvis I har brug for en DPO, kan en SMB anvise en eksisterende medarbejder til at dække DPO-pligten ud over hans/hendes andre opgaver, eller hyre en ekstern konsulent eller service.

Vores tip: Brug af automatiseret data discovery gør det nemt for alle at udføre DPO-opgaver.

Trin 8: Overvej at udføre konsekvensvurderinger for databeskyttelse (DPIA’er)
Konsekvensvurderinger for databeskyttelse er påkrævet for virksomheder, der udfører aktiviteter, der kan udgøre særlige risici for persondata. Eksempelvis overvågning/videoovervågning af et offentligt tilgængeligt område.

På den anden side, hvis I er en lille virksomhed, der kun administrerer medarbejders lønninger, lister over kunder osv., vil I ikke være forpligtet til at udføre konsekvensvurderinger for databeskyttelse.

Vores tip: Hvis I påbegynder nye aktiviteter, der involverer behandling af personlige data, kan udførelsen af en grundlæggende DPIA være en god øvelse til at evaluere jeres egen praksis og kan reducere risikoen for databrud og begrænse ansvaret i tilfælde af, at data bliver lækket. Et data discovery-værktøj gør det nemt.

Den nemme vej til at følge GDPR for SMVs

I Safe Online har vi udviklet data discovery-værktøjet DataMapper. Redskabet er skabt til små og mellemstore virksomheder til at overholde GDPR. Herudover har vi også designet RequestManager og ShareSimple.

DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler let

Sebastian Allerelli

Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →

GUIDE

Håndtering af følsomme persondata

GUIDE

Sådan findes persondata med Datamapping

GUIDE

Forberedelse til et datatilsyn