Skip to main content

Behandling af følsomme persondata

I 2018 blev GDPR implementeret med henblik på at beskytte personlige oplysninger, der behandles af virksomheder eller offentlige myndigheder. Med GDPR er behandling af følsomme persondata blevet et centralt fokus for organisationer og virksomheder. GDPR kræver, at behandlingen af persondata skal være mere gennemsigtig, og organisationer skal have kontrol over de persondata, de håndterer.

Blogindlægget her skal hjælpe virksomheder til at oplyse, hvordan de behandler følsomme personoplysninger i overensstemmelse med GDPR.

 

Hvad er data-compliance?

Hver dag modtager og administrerer jeres organisation formentlig store mængder personlige data. Disse data kommer ind i jeres systemer, indbakker og fællesdrev. For at overholde GDPR, skal I holde styr på, hvordan data bliver behandlet, organiseret, gemt og administreret.

For at overholde GDPRs gennemsigtighedsprincip bør I også være i stand til at kommunikere disse processer til de registrerede (kunder, medarbejdere og alle andre, hvis data I opbevarer). I bør også være parat til at redegøre for dem i tilfælde af revision. GDPR giver enkeltpersoner nye rettigheder, herunder: retten til adgang, retten til berigtigelse, retten til sletning, retten til at begrænse behandlingen, retten til dataportabilitet osv. Hver af disse rettigheder giver mere magt til den enkelte, og gør organisationer desto mere ansvarlige for deres håndtering af persondata. Dette skaber behov for, at I revurderer og forbedrer jeres dataprocesser.

 

GDPR og persondata

GDPR er et vigtigt fokus for jeres virksomhed fra både et etisk og økonomisk synspunkt. Adskillige prominente sager er dukket op i de senere år, der sætter fokus på tab eller misbrug af personlige data (uanset om det er forsætligt eller utilsigtet). I dag er forbrugere i stigende grad opmærksomme på dataetik. De bekymrer sig om de typer følsomme data, I indsamler om dem, hvor meget I indsamler, og hvor længe I opbevarer dem. Jeres datapolitik kan effektivt være en dealmaker eller en dealbreaker for jeres kunder.

En anden oplagt grund til at forblive datakompatibel er at undgå bøder. Et databrud kan koste jer virksomhed store bøder på op til 4 % af dens årlige omsætning. De gennemsnitlige omkostninger ved et databrud i 2020 er $3,86 millioner, ifølge en ny rapport fra IBM og Ponemon Institute.

Få en GRATIS licens til ShareSimple i dag!

Sådan skal I behandle persondata

Der er 5 områder, I skal fokusere på for at opfylde GDPR:

1. Sikkerhed
GDPR kræver, at I implementerer “passende tekniske og organisatoriske foranstaltninger” for at beskytte data. Databeskyttelse bør altid være førsteprioritet, når I håndterer persondata, og bør være indbygget i jeres processer. Tekniske foranstaltninger, I kan tage for at beskytte data, kan omfatte kryptering af data i hvile og under transport. Organisatoriske foranstaltninger kan omfatte ting som at angive grænser for dataopbevaring, træning af jeres medarbejdere i at beskytte deres arbejdsenheder og så videre.

2. Gennemsigtighed
Alle virksomheder skal være gennemsigtige i deres aktiviteter og vise, at de har et lovligt grundlag for at indsamle data. Virksomheder, der har 250 ansatte eller mere, eller som udfører databehandling med højere risiko, er forpligtet til at holde en ajourført og detaljeret liste over deres behandlingsaktiviteter og være parate til at vise denne liste til tilsynsmyndigheder efter anmodning. Men selvom I ikke er sikker på, om det er påkrævet, er det en god idé at liste jeres behandlingsaktiviteter, da det hjælper jer med at evaluere jeres egne processer, og det vil gøre det lettere at overholde GDPR’s øvrige krav. For eksempel vil I være i stand til at holde jeres privatlivspolitik opdateret og rapportere eventuelle brud eller problemer til tiden.

Lav et skriv med:

  • Jeres formål med at indsamle data
  • Hvilken slags data I agter at indsamle
  • Hvem i jeres virksomhed vil have adgang til persondata
  • Eventuelle tredjeparter, der har adgang til data, og hvor de befinder sig
  • Hvad vil I gøre for at beskytte dataene
  • Hvor længe vil I beholde data

3. Ansvarlighed
I bør etablere et compliance-team eller udpege en compliance-officer. At have et dedikeret team eller en person, der er ansvarlig for compliance, kan hjælpe jer med at sikre, at compliance får den opmærksomhed, det har brug for, og at eventuelle problemer behandles hurtigt. Det udpegede GDPR-team eller -ansvarlig bør holde sig informeret og opdateret om ændringer i love, regler og standarder, der kan hjælpe med at sikre, at virksomhedens GDPR-indsats er opdateret og effektiv. Opsummere bør I, som virksomhed, gøre dette:

  • Sæt en person til at overvåge jeres daglige processer for at sikre, at de er i overensstemmelse med reglerne.
  • Hvis andre organisationer behandler data på jeres vegne, skal I sørge for at underskrive en databehandleraftale med dem.
  • Hvis jeres virksomhed er uden for EU, skal I udpege en EU-repræsentant.
  • Beslut, om I skal udpege en databeskyttelsesansvarlig (DPO).

4. Kultur
Som virksomhed bør I sørge for at implementere den GDPR-politik og procedurer, I siger, I har. For at gøre dette, bør I skabe en GDPR-kultur, hvor compliance værdsættes og overholdes af alle medarbejdere. Dette kan hjælpe med at sikre, at compliance er en integreret del af virksomheden. Tilbyd awareness-træning og uddannelse, hvor I giver medarbejderne indsigt i GDPR. På den måde kan I sikre, at de forstår deres ansvar og er opmærksomme på eventuelle ændringer i love eller regler. Jeres processer for at opretholde en GDPR-kultur bør regelmæssigt gennemgås og opdateres efter behov.

5. Privatlivsrettigheder
Med GDPR har alle en række rettigheder knyttet til behandlingen af deres personoplysninger. Personoplysninger må for det første ikke opbevares længere end den tid, der er nødvendig for det formål, som oplysningerne behandles til. Tidsrammen er ikke foruddefineret; det kan variere for medarbejderdata og kundedata, forskellige typer data, og hvor længe dataene er relevante for det formål, de er indsamlet til.

Folk har ret til at vide, hvilke data I har om dem, og hvordan I bruger dem.  For at holde jer inden for reglerne skal I sikre jer, at enkeltpersoner er informeret om, hvad deres data bliver brugt til, og at de giver et specifikt, utvetydigt samtykke til, at I kan behandle dem. Der bør også gives mulighed for at trække samtykke tilbage. Når der er givet behørigt samtykke, kan jeres organisation kun bruge data til de formål, der er beskrevet i aftalen. Folk kan også stille en række andre anmodninger vedrørende deres data, som I bør være parat til at svare på. Når nogen fremsætter en anmodning om deres data, skal I sørge for:

  • Bekræft deres identitet
  • Giv dem besked om, at deres anmodning er modtaget
  • Tildel nogen til at indsamle data og svare
  • Indsaml alle relevante data
  • Send det sikkert til dem
  • Svar til tiden (normalt inden for en måned)
  • Dokumenter alle disse trin

 

Den smarte måde at behandle persondata

At være compliant i måden I behandler persondata, involverer meget manuelt arbejde. Brug af software kan gøre det meget nemmere. Her er tre typer software, vi anbefaler til formålet:

1. Data-anmodningsportal
Med en dataanmodnings-portal kan I få en struktureret, strømlinet måde at holde trit med dataanmodninger (DSAR’er) fra kontakter, I har data på. Manuelt svar på dataanmodninger er tidskrævende og problematisk, idet det tager mellem 30-40 timer pr. anmodning at finde og forberede en persons data. En dataanmodnings-portal automatiserer processen, hvilket sparer dig for værdifuld arbejdskraft og ressourcer. Det gør jer i stand til at modtage og reagere hurtigt og effektivt på alle typer dataanmodninger, som krævet af GDPR.

Læs mere om vores anmodningsportal, RequestManager

2. Data discovery-værktøj
Lad algoritmer finde og spore de personlige data, jeres virksomhed gemmer, uanset hvor de er. Et data discovery-værktøj gør det nemt for jer at identificere filer, der kan udgøre en risiko for GDPR eller ved databrud. Data discovery-software genkender højrisikonøgleord og ID-numre og organiserer følsomme filer efter risikoniveau og kategori. Brug det derefter til regelmæssigt at evaluere og forbedre jeres databehandlingsprocesser.

Læs mere om vores data discovery-værktøj, DataMapper

3. En sikker e-mail portal
Et e-mail-sikkerhedssoftware hjælper jer med at dele og sende personlige data via e-mail på en ansvarlig måde. En sikker e-mail-portal kan fungere med den e-mail, I allerede bruger. I kan sende og modtage data i en krypteret mappe med automatisk sletning efter en tidsperiode, I tilpasser. Softwaren holder de personlige oplysninger, I deler og anmoder om, ude af jeres indbakker og mapper, hvor de udgør en risiko.

Læs mere om vores sikker e-mail portal, ShareSimple

En flerstrenget tilgang

Alle tre løsninger minimerer tendensen til, at personlige filer og informationer bliver hængende i jeres systemer, og flyder rundt uden formål med risiko for at blive lækket i et databrud.

Compliance-værktøjer sparer værdifuld tid for jeres virksomhed, og beskytter jer mod ansvar. Endelig giver det jeres kunder tillid til at deres data er sikre hos jer.

Jeg håber, at guiden her hjælper jer til at forbedre jeres håndtering af persondata.

Sebastian Allerelli