Det korte svar: En virksomhed er compliant, når den overholder de love og regler, der gælder for håndtering af personoplysninger – og kan dokumentere det. Det kræver, at man har styr på, hvilke data man har, hvorfor man har dem, og hvordan de beskyttes. Man skal behandle data lovligt, gennemsigtigt og sikkert, have de rette interne processer og være klar til at svare på forespørgsler om indsigt eller sletning.
Hvad betyder compliance?
Compliance refererer til “efterlevelse af regler og retningslinjer” og er et udtryk, der anvendes til at beskrive den proces, hvor virksomheder forsøger at opfylde de krav og anbefalinger, som de juridisk er underlagt. Begrebet omtales også undertiden for “corporate compliance”. At være compliant drejer sig ofte, men ikke udelukkende, om beskyttelse af følsomme data. Det er denne del af compliance, som denne blog omhandler.
I bloggen her vil jeg give dig en forståelse af, hvad compliance er, hvad sker der hvis man bryder compliance, hvem har ansvaret for det og – ikke mindst – hvordan man, som virksomhed, bliver compliant.
"Undersøgelser viser, at næsten 50% af virksomheder har oplevet et cyberangreb."
- Center for Cybersikkerhed
Hvorfor skal man være compliant?
Compliance kan virke som en tung opgave for virksomheder, men det er en proces, der ikke bør nedprioriteres. At være compliant indebærer, at man overholder de love og regler, der er gældende for éns virksomhed, når det drejer sig om at håndtere personoplysninger. Kort sagt kan man sige, at compliance er vigtig af tre årsager:
- Compliance demonstrerer ansvarlig forretningspraksis og styrke tilliden til bl.a. kunder og samarbejdspartnere
- Compliance reducerer økonomiske tab ved at undgå eller minimere bøder
- Compliance kan fungerer som et værn mod datalæk og cyberangreb
Hvad sker der, hvis man bryder compliance?
I Danmark udstikker Persondataloven og GDPR de regler for håndtering af personoplysninger, man som virksomhed skal følge. Og i Danmark står Datatilsynet for at lave tilsyn. Har man forretning i andre dele af verden, gælder andre forordninger som CCPA, UK-GDPR etc. Brud på compliance med GDPR kan have omfattenede konsekvenser både for de personer, hvis persondata er blevet mishandlet og for virksomheden, som har eksponeret persondata.
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
To betydninger af compliance
Når man slår ordet compliance op, defineres det som “overholdelse af regler og retningslinjer”. Dette er en god start til at forstå, hvad compliance indebærer, men det er ikke en fuldstændig definition. Compliance kan have to forskellige betydninger, da det både refererer til det, som virksomheden gør – altså dét, man som virksomhed gør med henblik på at følge regler og retningslinjer – og det, som virksomheden er, når den følger regler og retningslinjer. En virksomhed bliver altså compliant, når den overholder forskellige lovgivninger. Det er dog ikke en permanent tilstand, da der ofte kommer nye krav, som virksomheden skal tilpasse sig efter.
Hvad omfatter compliance?
Compliance handler som nævnt om overholdelse af alle relevante love, regler, standarder og interne politikker, der gælder for en virksomhed. Dette kan inkludere lovgivning relateret til finanser, databeskyttelse, arbejdsmiljø, handel, miljø, sundhed og sikkerhed, samt etiske standarder og branche-specifikke krav. At være compliant indebærer også implementering af passende kontrol- og overvågningsmekanismer for at sikre, at disse regler og standarder overholdes på en konsekvent og effektiv måde. Compliance er således et bredt begreb. I artiklen her vil jeg dog behandle compliance i relation til databeskyttelse.
Hvordan bliver man compliant?
For at blive compliant, er der en række områder man skal igennem:
-
Overblik I skal have styr på hvilke persondata I har, hvor de ligger, og hvorfor I har dem
-
Lovligt grundlag I skal have lov til at behandle data (f.eks. samtykke, kontrakt, juridisk forpligtelse)
-
Gennemsigtighed I skal være transparente over hvordan I behandler persondata – via en klar og tilgængelig privatlivspolitik
-
Sikkerhed I skal have tekniske og organisatoriske foranstaltninger der beskytter de persondata, I har
-
Dokumentation og ansvarlighed – I skal sørge for at dokumentere beskyttelse af persondata
-
Processer for rettigheder – I skal sikre at folk kan få indsigt, rette, slette eller få deres data udleveret
-
Slettepolitik – I skal have styr på, hvor længe persondata gemmes, og at det slettes, når I ikke længere har ret til dem
For at hjælpe til at blive compliant, har vi lavet en GDPR-guide.
Hvem har ansvaret for compliance?
Som udgangspunkt har ledelsen – bestyrelsen eller direktionen – det overordnede ansvar for intern kontrol og risikostyring, som inkluderer compliance. I større virksomheder er det imidlertid påkrævet, at man ansætter en dataansvarlig eller Data Protection Officer (DPO), der kan tage sig af alt arbejdet vedrørende overholdelse af regler og standarder – inklusivt at skabe awareness i virksomheden.
Ved at have en dataansvarlig øges sandsynligheden for, at virksomheden overholder alle kravene. I mindre virksomheder kan ejeren typisk selv tage sig af dette arbejde eller udpege en medarbejder, hvis vedkommende holder sig opdateret om reglerne for virksomhedens arbejdsområde. Det er dog vigtigt at huske, at compliance er en opgave der vedrører hele jeres virksomhed, og alle medarbejdere og afdelinger bør arbejde sammen om at opretholde overholdelsen af relevante standarder og regler.
FAQ om compliance
1. Hvad betyder compliance egentlig?
Compliance betyder, at en virksomhed følger de love, regler og interne politikker, der gælder for dens branche og drift – fx GDPR, arbejdsmiljø- og regnskabslovgivning.
2. Hvorfor er compliance vigtigt?
Det beskytter virksomheden mod bøder, retssager og dårlig omtale – og viser omverdenen, at man driver forretning ansvarligt og tillidsfuldt.
3. Hvem har ansvaret for compliance i en virksomhed?
Typisk ligger det hos ledelsen eller en compliance-/IT-/HR-ansvarlig, men alle medarbejdere spiller en rolle i at overholde reglerne i praksis.
4. Hvad er risikoen ved manglende compliance?
Udover store bøder kan det føre til tab af kundetillid, driftsforstyrrelser og skade på virksomhedens omdømme.
5. Hvordan kan vi arbejde mere effektivt med compliance?
Kort sagt: automatisér, dokumentér og skab overblik. Værktøjer kan hjælpe med at identificere og håndtere følsomme data hurtigt og sikkert.
6. Gælder compliance kun store virksomheder?
Nej – alle virksomheder, uanset størrelse, har ansvar for at overholde gældende lovgivning, især når det gælder persondata og GDPR.
Den smarte vej til at blive compliant
For en virksomhed kan compliance være en omfattende opgave. Heldigvis kan GDPR-værktøjer hjælpe jer med at opfylde GDPR-kravene hurtigere og mere præcist end ved manuel behandling af følsomme data. Disse værktøjer er i stand til at automatisere mange af de processer, der er involveret i behandlingen af personoplysninger og overholdelsen af GDPR-kravene.
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
