10 GODE RÅD TIL GDPR

1: Find ud af hvilke personoplysninger virksomheden bruger og hvorfor

Gennemgå virksomhedens processer for at afklare hvor og hvornår personoplysninger bliver taget i brug. Det betyder at hvis virksomheden ikke allerede har taget stilling til processen kan i nok forvente jer, at der undervejs i gennemgangen findes oplysninger som kan slettes fordi I ikke længere har et formål med at gemme dem.

​

2: Forstå data-emners rettigheder

Dine kunder og leverandører har under persondataloven ret til at blive oplyst omkring hvilke data du holder omkring dem, samt hvad de bruges til. Bliver data omkring virksomhedens interessenter udleveret til 3. parts brugere eller virksomheder, har de pligt til at vide det. Forbered dig derfor på spørgsmål ved allerede nu at kortlægge data rejsen og mængden af information der bliver formidlet. Organisationen er nødt til at sikre, at processer (både tekniske og administrative) er på plads. Det skal være muligt for den enkelte kunde eller leverandør, at udøve deres oplysningsrettigheder.

​

3: Registrering af behandlingsaktiviteter

Datatilsynet kræver, at organisationer holder ajourførte poster over deres behandlingsaktiviteter, hvem data deles med og hvorfor. Din virksomhed skal, ved forespørgsel, være i stand til at fremvise disse poster til datatilsynet. Med det korrekte digitale layout, er dette ikke noget problem, det betyder altså at en god strategi hjælper jer med at spare en masse arbejde. Ring og tal med din IT-rådgiver hos My Data, for yderligere konkrete eksempler.

​

4: Dokumenter nye tiltag som virksomheden tager i brug for at sikre imod data-læk

Sørg for at kortlægge og dokumentere de nye tiltag i gør, for at sikre kunder og leverandørers data. Det inkluderer selvfølgeligt både digitale og analoge tiltag. Datatilsynet under GDPR-lovgivningen kræver at man altid har alle personfølsomme oplysninger låst forsvarligt inde, det gælder både digitale og analoge data.

​

5. Få jeres data sikret

En af de vigtigste punkter i persondataloven er at personfølsomme data er forsvarligt låst inde. På den analoge platform er der her tale om at sikre dokumenter i et pengeskab eller aflåst fil-kabinet. På den digitale platform, drejer det sig om to ting;

a. At sikre at kunder og leverandørers data bag en krypteret back-up løsning. (My Data’s krypterede backup er gemt på 14 servere verden over og sikret med 256-bit AES end-point-kryptering, den lever dermed op til alle GDPR-krav)

b. At sikre at man har installeret et system, der sikre at hackere ikke kan skaffe sig adgang til skærmbilledet og tastaturet på computere der behandler personfølsomme data. (Det kunne være et antimalware program)

​

6: Tag stilling til, om der skal udvælges en DPO (Data Protection Officer)

Nogle organisationer, der behandler særligt meget persondata er forpligtet til at udpege en DPO. Hvis du behandler de mest basale oplysninger omkring kunder i din database, er det ikke en nødvendighed, men stadig en god ide. Skulle Datatilsynet kigge forbi i efteråret, så er det et godt signal at sende at man har valgt en medarbejder i ledelsen, der har specialiseret sig i at forstå persondataloven og tager ansvar for en sikker databehandling.

​

7: Informer dine medarbejdere

Sørg for at alle medarbejdere der håndterer person data er klar over, at de også har et ansvar i varetagelsen af personfølsomme oplysninger. Disse personer er nødt til at sætte sig ind i, hvordan de vil overholde GDPR. I sektionen herunder findes links til alt det nødvendige læsestof. Hvis du ikke allerede har fået dine medarbejdere uddannet i den basale forståelse af persondataloven, så er det på tide at gøre det nu.

​

8: Hold jer opdateret med Datatilsynet

Der er et væld af information på Datatilsynets hjemmeside, her kan man altid finde den nyeste information omkring persondataloven. Under presse og nyheder kan jeres DPO finde en RSS-feed man kan abonnere på.

https://www.datatilsynet.dk/presse-og-nyheder/

https://www.datatilsynet.dk/generelt-om-databeskyttelse/ofte-stillede-spoergsmaal/

 

9: Forstå den ledende tilsynsmyndighed

Virksomheder der har kontorer- eller gør forretning i flere EU-medlemsstater, kan være underlagt regulering af flere forskellige tilsynsmyndigheder. Organisationer i denne situation er derfor nød til at identificere den ledende tilsynsmyndighed, som de arbejder sammen med. Det er selvfølgeligt også en god ide at sikre man har forståelse for alle de lokale krav der måtte være på et lokalmarked i udlandet.

 

10: Samtykke

Sæt jer ind i hvordan man bedst dokumentere samtykke, samt sørg for at have alt dokumentation systematiseret og ved hånden i tilfældet af en anmeldelse. Dette inkluderer, hvordan samtykket opnås, registreres, spores og ændres. Sørg samtidig for at det klart fremgår af jeres kommunikation hvordan enkeltpersoner og virksomheder trækker deres samtykke tilbage.