Det korte svar: For at overholde GDPR skal man som virksomhed have en systematisk tilgang til at beskytte sine følsomme data. Dette indebærer at forstå de relevante regler, udpege en dataansvarlig, implementere passende sikkerhedsforanstaltninger, udarbejde en klar politik for persondata, organisere og håndtere personoplysninger korrekt, sikre tilstrækkelig dokumentation og løbende overvåge compliance.
En GDPR-tjekliste til at overholde dataforordningen
Hvordan får man styr på GDPR? Vi har udarbejdet en tjekliste til GDPR, så I altid kan være forberedte på at overholde reglerne. Gennem en systematisk tilgang til jeres data og informationssikkerhed, kan I sikre jer, at I følger retningslinjerne og at I beskytter de personlige oplysninger, I råder over. Med denne tjekliste kan I forberede jer på overholde dataforordningen. Vores GDPR-tjekliste omfatter disse punkter:
- Sæt jer ind i reglerne
- Udpeg en dataansvarlig
- Opsæt sikkerhedsforanstaltninger
- Lav en politik for persondata
- Organiser jeres persondata
- Håndter personoplysninger ordentligt
- Sørg for dokumentation
- Følg op på compliance
1. Sæt jer ind i reglerne
Grundlaget for at følge GDPR er at forstå den lovgivning, der gælder for én. I Danmark definerer Persondataloven de specifikke retningslinjer for behandling af personoplysninger, mens GDPR udgør den europæiske databeskyttelsesforordning, som virksomheder i Europa skal overholde. For virksomheder, der opererer globalt, er der yderligere forordninger at tage hensyn til, såsom CCPA og UK-GDPR. Virksomheder skal have en klar forståelse af den relevante lovgivning, f.eks. GDPR. Dette indebærer at identificere, hvordan loven gælder for deres specifikke aktiviteter og hvilke forpligtelser den pålægger.
2. Udpeg en dataansvarlig
En Databeskyttelsesansvarlig (DPO) fungerer som en intern repræsentant for databeskyttelse og har til opgave at sikre, at virksomheden overholder kravene i persondataforordningen. Vedkommende er involveret i alle aspekter af databeskyttelse og fungerer som virksomhedens kontaktperson til Datatilsynet.
Der gælder meget specifikke regler for hvornår en virksomhed skal udnævne en databeskyttelsesansvarlig. Læs mere om udpegelse af DPO her.
Vidste du, at hvis man er forberedt på et databrud, kan det markant minimere mistillid og kundetab?
www.microsoft.com
3. Opsæt sikkerhedsforanstaltninger
I bør også opsætte sikkerhedsforanstaltninger for at beskytte de data, I indsamler. Disse kan omfatte:
- Stærke adgangskoder
- Pseudonymisering
- Kryptering
- Virusbeskyttelse
- Sikkerhed i bygninger
- Enhedens sikkerhed
- DPIA’er (konsekvensanalyser vedrørende databeskyttelse)
- Politikker for sletning af data og bortskaffelse af papirarbejde
- Andre politikker til at forhindre uautoriseret adgang til data
- Regelmæssige opdateringer af jeres systemer og databaser
4. Lav en politik for persondata
Brug derefter det, I har lært om jeres data, til at udarbejde en detaljeret fortrolighedspolitik, der beskriver, hvilke data du indsamler, og hvordan I vil bruge, opbevare og beskytte dem.
En enkel og tydelig politik viser kunderne, at I bekymrer jer om deres privatliv. Det er også med til at opfylde de regler, der kræver, at I holder folk informeret om, hvordan deres data håndteres. Jeres politik for beskyttelse af personlige oplysninger bør:
- Fortæl folk, hvilke typer data der indsamles, hvordan og hvorfor
- Vis, hvordan data behandles og opbevares sikkert
- Forklar brugernes rettigheder
- Være ajourført
- Angiv kontaktoplysninger
- Lad folk vide, hvordan de kan klage, hvis det er nødvendigt
5. Organiser jeres persondata
Det første skridt til at overholde GDPR er at identificere de persondata, I indsamler og opbevarer. Dette omfatter alle data – fra kunder, medarbejdere eller andre personer – der indeholder personlige oplysninger. I bør vide dette:
- Hvilke data har vi med persondata?
- Hvilken typer data er der tale om?
- Hvad er formålet med at indsamle og opbevare disse oplysninger?
- Hvor længe har vi haft dem?
- Hvem har adgang til dem?
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
6. Håndter personoplysninger ordentligt
For at følge GDPR er afgørende at behandle personoplysninger ordentligt. Ved at gøre dette, beskytter man som virksomhed ikke kun individets rettigheder, men opretholder også tilliden og troværdigheden hos sine kunder, samarbejdspartnere og omverden. Læs mere om en ansvarlig behandling af personoplysninger.
7. Sørg for dokumentation
Opbevar dokumentation, der viser, at virksomheden arbejder aktivt på at være compliant. Dette kan omfatte politikker, uddannelsesregistre og resultater af gennemførte revisioner.
8. Følg op på compliance
Endelig bør I regelmæssigt overvåge jeres overholdelse af GDPR for at sikre, at I (og alle i virksomheden) gennemfører jeres politikker i praksis. I bør også holde jer ajour med eventuelle ændringer i de regler, der påvirker jeres virksomhed, og sikre, at jeres processer fortsat er i overensstemmelse med de nye krav.
En ufuldstændig GDPR-tjekliste
Faktum er, at der ikke findes en endegyldig GDPR-tjekliste. Alle virksomheder og deres dataindsamlingsaktiviteter er forskellige. Desuden anvendes der i selve forordningen om databeskyttelse bevidst et tvetydigt og åbent sprog af flere årsager:
- Personoplysninger har en bred definition
- De typer af personoplysninger, som virksomhederne indsamler, varierer
- Jeres virksomheds roller og ansvar som dataansvarlig kan ændre sig
- Passende sikkerhedsforanstaltninger og teknologi kan ændre sig
- Der kan opstå nye sikkerhedstrusler
Denne tvetydighed i reglerne og den verden, vi arbejder i, som konstant udvikler sig, gør det umuligt at udarbejde en GDPR-tjekliste, der kan garantere compliance. Det er dog ikke en undskyldning for at læne sig tilbage, gøre ingenting og håbe på det bedste. Start med ovenstående trin. Hvis I gennemgår dem omhyggeligt, vil I helt sikkert være på forkant og på rette vej til at blive compliant.
FAQ om at overholde GDPR
1. Skal alle virksomheder udpege en databeskyttelsesansvarlig (DPO)?
Ikke alle virksomheder er forpligtet til at udpege en DPO. Det afhænger af faktorer som virksomhedens størrelse og typen af data, der behandles. Det er vigtigt at vurdere, om jeres virksomhed falder ind under kravene for at udpege en DPO.
2. Hvilke sikkerhedsforanstaltninger bør implementeres?
Virksomheder bør implementere både tekniske og organisatoriske sikkerhedsforanstaltninger, såsom kryptering, adgangskontrol, regelmæssige sikkerhedsopdateringer og politikker for databehandling.
3. Hvordan sikrer vi løbende compliance?
Løbende compliance sikres gennem regelmæssige audits, opdatering af politikker og procedurer, medarbejderuddannelse og overvågning af databehandlingsaktiviteter.
Har I brug for hjælp til at overholde GDPR?
I Safe Online skaber vi SaaS-løsninger, som gør det lettere at overholde GDPR. Se vores løsninger her:
DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler effektivt
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
