Hvor klar er I til et datatilsyn?

I dag er data en uvurderlig ressource for virksomheder. At samle, behandle og bruge data er centralt for at drive og udvikle en virksomhed. Det er samtidig også et enormt ansvar. Virksomheder er forpligtet til at beskytte persondata og overholde lovgivning om databeskyttelse. I Danmark er det Datatilsynet, som håndhæver, at virksomheder følger GDPR og persondataloven. Et datatilsyn fra Datatilsynet kan forekomme når som helst, og kan have alvorlige konsekvenser, hvis man ikke har styr på sin databeskyttelse.

Datatilsynet kan stille forskellige spørgsmål ved et datatilsyn, afhængigt af virksomhedens aktiviteter og formål med behandling af persondata. Nogle af de spørgsmål, som Datatilsynet typisk vil stille under et datatilsyn, kan omfatte:

• Hvorfor indsamler I personoplysninger og til hvilket formål?
• Hvilken type personoplysninger behandler I?
• Hvordan opbevares og beskyttes persondata?
• Hvornår slettes persondata?
• Hvilke sikkerhedsforanstaltninger har I for at beskytte personlige data mod tab, tyveri eller misbrug?
• Har I udpeget en GDPR-ansvarlig, og hvilken rolle spiller vedkommende i forhold til håndtering af personoplysninger?
• Har I dokumenteret og vurderet risici ved behandling af personoplysninger, og er der gennemført en databeskyttelseskonsekvensanalyse (DPIA)?
• Hvordan reagerer I på anmodninger om persondata fra jeres kontakter?
• Har I informeret de registrerede personer om deres rettigheder og om, hvordan deres personoplysninger behandles?
• Har I informeret jeres medarbejdere om de interne retningslinjer for databeskyttelse og om deres ansvar og forpligtelser?

Disse spørgsmål er ikke udtømmende og kan variere afhængigt af virksomhedens specifikke aktiviteter og databehandlingspraksis. Datatilsynet vil typisk også undersøge virksomhedens dokumentation og politikker for at sikre, at der er overensstemmelse mellem hvad virksomheden gør, og hvad den siger, at den gør.

For at forberede sig bedst muligt på et datatilsyn er det vigtigt at have en klar og sammenhængende plan for, hvordan man håndterer persondata i virksomheden. Her er nogle skridt, som kan hjælpe med at forberede sig på et datatilsyn:

1. Sæt jer ind i loven Det første skridt i forberedelsen på et datatilsyn er at sikre, at I har tilegnet jer en god forståelse af de lovgivninger, der er gældende for jer.
2. Gennemgå data. Identificer hvilke type persondata der behandles, hvor data kommer fra, hvordan de behandles, og hvem der har adgang til dem.
3. Opdater IT, politikker og procedurer. Gennemgå og opdater virksomhedens IT, politikker og procedurer for databeskyttelse. Identificer sårbarheder og opdater jeres praksis, så det afspejler de gældende lovkrav på området.
4. Vurder risici. Identificer og vurder risiciene ved behandling af persondata, og foretag en konsekvensanalyse for databeskyttelse for at sikre, at man har styr på eventuelle risici og konsekvenser ved databrud.
5. Uddan medarbejdere. Sørg for, at alle medarbejdere i virksomheden er uddannet i databeskyttelse, og at de forstår deres ansvar og forpligtelser i forhold til behandling af persondata.
6. Dokumentation. Dokumenter alle beslutninger, procedurer og aktiviteter i forbindelse med behandling af persondata i virksomheden, og sørg for, at det er nemt at spore og dokumentere, hvad der er sket, og hvem der har været involveret.
7. Overvej samarbejde. Et eksternt konsulentfirma kan hjælpe med at identificere eventuelle problemer og mangler i virksomhedens databeskyttelse og give rådgivning og vejledning i forbindelse med et datatilsyn.

Ved at følge disse skridt og have en klar plan for databeskyttelse i virksomheden, kan I bedre forberede jer på et datatilsyn – og compliance generelt.

Den smarte måde at forberede sig på et datatilsyn

At forberede sig på et datatilsyn er en omfattende opgave. Især for en mindre eller mellemstor virksomhed. GDPR-værktøjer kan hjælpe jeres virksomhed med at opfylde kravene i GDPR og gøre den klar til et datatilsyn langt hurtigere og mere præcist, end hvis I skulle gøre hele arbejdet manuelt. Disse værktøjer kan nemlig automatisere nogle af de processer, der er involveret i at behandle personoplysninger og overholde GDPR-kravene. Læs mere om hvad et GDPR-værktøj kan gøre for jer her. I Safe Online udvikler vi GDPR-værktøjer, der dækker de mest centrale steder en virksomhed behandler persondata. Vores værktøjer er: