Hvad er et GDPR-værktøj?

Formålet med et GDPR-værktøj er at hjælpe en virksomhed eller organisation med at opnå og vedligeholde compliance. Da GDPR er en kompleks forordning med en række krav, kan det kræve flere typer af software for at opnå det rette niveau af databeskyttelse.

Denne blog vil kort gennemgå nogle af GDPRs vigtigste krav, og eksempler på GDPR-værktøjer. Til sidst vil bloggen omhandle det GDPR-værktøj, vi anser som det vigtigste for små og mellemstore virksomheder.

I øjeblikket er der intet værktøj eller en tjeneste, der fuldstændigt kan outsource en virksomheds GDPR-ansvar eller garantere compliance. I sidste ende er jeres virksomhed stadig ansvarlig for at beskytte persondata. Når dette er sagt, gør GDPR-værktøjer en verden til forskel ved at løfte de tunge og tidskrævende opgaver forbundet med at overholde GDPR.

Nedenstående er de 7 vigtigste principper i GDPR-forordningen, når det drejer sig om at behandle persondata sammen med en kort beskrivelse af, hvad man bør gøre for at overholde dem.

1. Gennemsigtighed
Ifølge GDPR skal man være ærlig og åben om, hvordan man indsamler, bruger, opbevarer og beskytter persondata. I kan gøre dette ved at opgive en om opdateret og dækkende privatlivspolitik, som varetager beskyttelse af personlige oplysninger. Man skal desuden oplyse fyldestgørende for samtykke til jeres databehandling i jeres kontaktformularer. I skal også være klar til at svare folk omgående, når de spørger jer om deres data. For at gøre alt dette skal I have en god forståelse for jeres egen databehandling. Dernæst skal man beskrive dette i et klart og enkelt sprog.

2. Formålsbegrænsning
Man bør ikke bruge folks data til andre formål end dem, man har oplyst i ens privatlivspolitik og/eller samtykkeformularer. Man bør have styr på de persondata, man har liggende, og holde styr på hvilke medarbejdere, der har adgang til dem. Man bør kontrollere, at det kun er de medarbejdere, der skal bruge data, der har adgang til dem.

3. Data-minimering
Undlad at indsamle data, I ikke har brug for. Sørg for regelmæssigt at slette data, som I ikke længere har brug for til det formål, som I indsamlede dem til. I bør også slette overflødige kopier af filer.

4. Nøjagtighed
Nøjagtighed handler om at opdatere og rette fejl i folks data. Når I indsamler data, skal I sørge for, at de er nøjagtige. Udfør datakvalitets-tjek for at identificere og rette unøjagtigheder eller uoverensstemmelser i de persondata, I har.

5. Opbevaringsbegrænsning
Gem ikke data længere, end I har brug for. Sæt en grænse for, hvor længe I opbevarer folks personlige oplysninger. Inddrag gerne denne dataopbevaringsperiode i jeres privatlivspolitik. Vær særligt opmærksom på data, der er over 5 år gamle, og tjek, om I virkelig stadig har brug for dem.

6. Integritet og fortrolighed
I praksis betyder dette princip sikkerhed. Dette inkluderer alle de systemer og politikker, I har indført for at beskytte folks data. Adgangskontrol, kryptering og stærke politikker for at holde personlige data sikre. Sørg for, at jeres standardindstillinger prioriterer privatliv og dataintegritet.

7. Ansvarlighed
GDPR-ansvarlighed betyder at I kan demonstrere, at I tager ansvar at beskytte persondata. I bør føre et register over de kategorier af persondata, I indsamler, og hvilke personer eller grupper I indsamler dem fra. I bør omtale jeres formål med at behandle personoplysninger, og om I deler dem med 3. part, især hvis det er uden for EU/EØS.

At overholde disse 7 principper i GDPR er hver en opgave i sig selv. Ved hjælp af GDPR-værktøjer vil man kunne enten afhjælpe eller helt eliminere risikoen for at behandle data med følsomme personoplysninger uordentligt.

Der er masser af IT-værktøjer relateret til GDPR-compliance på markedet. Hvilket type GDPR-værktøj I har behov for med henblik på at overholde GDPR, afhænger af jeres virksomhed samt den måde, I skal håndtere persondata. Her er et par eksempler på GDPR-værktøjer, I bør være klar over eksisterer:

Data Discovery-værktøj

Et Data Discovery-værktøj kan hjælpe med at forstå, hvor meget data I har, hvor gammelt det er, hvem der har adgang til det og meget mere. Dette sparer jer for tid, når I udarbejder politikker og samtykker, svarer på dataanmodninger og meget mere. Det lader jer også hurtigt identificere og slette gamle data og filer, I ikke længere har brug for.

Værktøj til GDPR-revision

Værktøjer til GDPR-revision bruges til at kontrollere, at I og jeres medarbejdere behandler personoplysninger korrekt. Disse værktøjer kan variere fra simple tjeklister til avanceret software. De indeholder normalt en liste over områder, I skal kontrollere, når I kontrollerer at I er compliant.

Værktøj til samtykkestyring

At indhente samtykke er en direkte måde at sikre, at I har et juridisk grundlag for at indsamle data. Værktøjer, der inkluderer samtykkestyring, kan indhente og administrere samtykke, tilpasse jeres samtykke-tekst for at sikre, at den er fyldestgørende og forståelig, føre optegnelser over alle indhentede samtykker og mere.

DSR-portal/dataanmodnings-portal

GDPR giver folk ret til at fremsætte anmodninger om deres data, og I skal reagere på dem alle med det samme. En DSR-portal/dataanmodningsportal kan strømline og automatisere eller semi-automatisere processen fra modtagelse af forespørgsel til indsamling af data til dit svar og sikker returnering af data.

Anonymiserings-værktøj

Hvis I opdager, at I gemmer masser af følsomme data, er en meget effektiv måde at beskytte dem på at bruge anonymisering. Anonymisering-værktøjer fjerner personligt identificerbare oplysninger som navne og ID-numre og erstatter dem med tilfældige strenge eller andre unikke identifikatorer. Bemærk, at I muligvis har brug for noget teknisk viden for at integrere anonymiseringsværktøjer med jeres systemer.

Værktøj til datadeling

Til sikker deling af persondata bør I se efter løsninger, der inkluderer kryptering af data i hvile og under transport. Andre sikkerhedsfunktioner, I har brug for til sikker datadeling, omfatter adgangskodeadministratorer og to-faktor-godkendelse.

De nævnte værktøjer kan bidrage til at overholde GDPR. Men hvis man skal pege på det mest værdifulde GDPR-værktøj til som små og mellemstore virksomheder baseret på dets evne til at hjælpe med compliance, må det være et Data Discovery-værktøj.

Compliance starter med at vide, hvor ens data er. Dette er grundlæggende for at kunne behandle persondata korrekt. Et Data Discovery-værktøj kan være afgørende for at komme i mål med dette. En kortlægning af ens persondata hjælper desuden med at forstå hvordan éns privatlivspolitik, risikovurderinger og samtykkeformularer skal formuleres. Det er også fundamentalt i forhold til at kunne dokumentere korrekt databehandling over for datamyndigheder, kunder osv.