Menu
Wave top
gdpr-compliance-checklist

GDPR Compliance Tjekliste | Del 2 - Forbliv compliant

Når du har implementeret GDPR i din organisation, skifter fokus fra implementering til overholdelse af GDPR.

  • Tjekliste og guides
  • +20 Løbende opgaver
Wave Bottom

Introduktion

Når du har implementeret GDPR i din organisation, muligvis ved hjælp af vores GDPR-compliance-tjekliste for at blive compliant, skifter fokus fra opsætning til løbende drift.

GDPR kræver, at din organisation over tid forbliver compliant og altid kan demonstrere et acceptabelt compliance-niveau. Det er også i din bedste interesse at sikre, at behandlingen af persondata er i overensstemmelse med både GDPR-kravene og principperne for fortrolighed, integritet og tilgængelighed.

Denne artikel guider dig gennem processen fra projektfasen, hvor du implementerer GDPR, til et stadie, hvor GDPR bliver en naturlig del af din løbende drift af virksomheden.

Governance

For at håndtere GDPR effektivt er det nødvendigt, at din organisation har en klar struktur og veldefinerede ansvarsområder. Uden et veldefineret ejerskab vil de indledende øvelser miste deres momentum. Det sker typisk, hvis nøglepersonale forlader virksomheden, eller hvis eksterne konsulenter afslutter deres projekt og overlader ansvaret til kollegaer, der ikke er forberedt. En solid governance-model sikrer, at GDPR-compliance forbliver aktiv og ikke forsvinder i baggrunden eller bliver glemt på et fildrev, som ingen tjekker.

Lederskab

Ansvaret for GDPR-compliance bør ligge hos en medarbejder på seniorniveau, f.eks. en direktør eller vicedirektør – én, der har autoritet til at sikre, at GDPR forbliver en prioritet i hele organisationen.

Der skal løbende rapporteres om organisationens compliance-status til ledelsen, herunder også til bestyrelsen. Disse rapporter skal dække eventuelle mangler, risici, udfordringer eller foreslåede ændringer, så ledelsen kan tage hånd om problemerne på et organisatorisk niveau.

Årlige rapporter skal anses som et minimum; for at forblive på forkant med GDPR-dokumentation vil kvartalsvis eller halvårlig rapportering være at foretrække. Uden aktiv involvering fra ledelsen er det urealistisk at forvente, at resten af organisationen vil have det på dagsordenen.

responsibleontask

Sørg for, at overholdelse af GDPR forbliver et centralt ansvar for den øverste ledelse.

GDPR Team

Hvis du har oprettet et team i forbindelse med implementeringen af GDPR, er det en fordel at beholde det samme hold, når du går ind i driftsfasen. De samme begrundelser for at vælge nøglemedlemmer under implementeringen af GDPR gør sig også gældende, når vi bevæger os ind i driftsfasen af GDPR-compliance.

Løbende input fra afdelinger som f.eks. IT og Legal er nødvendigt, og input fra HR er uvurderligt, når det kommer til hverdagens udfordringer med håndtering af medarbejderes persondata.

GDPR-teamet kan med fordel mødes jævnligt, f.eks. en gang i kvartalet eller oftere. Dette er med til at sikre løbende compliance og håndtere de udfordringer, der kan opstå undervejs.


business-areas

Arbejd tæt sammen med et tværfunktionelt team for at håndtere GDPR-overholdelse og løse komplekse opgaver.

Proces- og systemejere

Når du implementerer GDPR, vil du højst sandsynligt involvere specialister fra forskellige teams i organisationen. De kan bidrage med viden om, hvordan persondata behandles i specifikke behandlingsaktiviteter og systemer (proces- og systemejere). I processen har du formentlig også uddelegeret specifikke opgaver til dem. Vi anbefaler, at du fortsætter med at uddelegere opgaver til disse ejere, så GDPR-compliance fortsat bibeholdes i hele organisationen.

Disse proces- og systemejere er ansvarlige for at opretholde GDPR-compliance inden for deres respektive områder. Forestil dig, at der opstår ændringer i, hvilke data der behandles, eller at nye udfordringer opstår. I sådanne tilfælde skal proces- og systemejerne adressere dem direkte, ideelt med din vejledning som GDPR-ansvarlig, da du har det bredere overblik og kan tilbyde indsigt omkring lignende situationer andre steder i organisationen.


processingactivities-with-businessarea

Tildel og fasthold ansvaret for overholdelse af GDPR til proces- og systemejere, og samarbejd efter behov.

GDPR Manager

Det er GDPR-managerens opgave at overvåge dagligdagsopgaver for at vedligeholde compliance. Selvom GDPR-manageren lægger planen og koordinerer alle GDPR-relaterede opgaver, betyder det ikke, at de behøver at udføre dem alle personligt. I mindre organisationer vil manageren formentlig være mere hands-on, men ideelt fordeles ansvaret til forskellige ejere rundt om i organisationen.

GDPR-manageren sikrer, at der løbende rapporteres til ledelsen, og at GDPR-teams samt proces- og systemejere får løst deres opgaver. De tilbyder også support og hjælp gennem træning og vejledning, hvilket er med til at sikre, at persondata behandles korrekt inden for forskellige afdelinger.

Ultimativt er det GDPR-managerens ansvar, at organisationens GDPR-dokumentation altid er opdateret, og at persondata håndteres i henhold til GDPR-forordningen.


compliance-task-management

GDPR-manager skal føre tilsyn med compliance-indsatsen og styre de daglige opgaver for at sikre korrekt håndtering af persondata i hele organisationen.

Databeskyttelsesrådgiver (DPO)

I løbet af implementeringsfasen kan din organisation have udpeget en databeskyttelsesrådgiver (DPO).

DPO'en arbejder tæt sammen med GDPR-manageren, men deres roller er forskellige. Mens GDPR Manageren håndterer den daglige drift, fokuserer DPO'en på tilsyn og rådgivning.

DPO'ens hovedopgave er at overvåge overholdelse af GDPR, f.eks. ved at kontrollere, at behandlingsaktiviteterne er i overensstemmelse med GDPR. De hjælper med at administrere konsekvensanalyser af databeskyttelse (DPIA'er), så risici håndteres korrekt. De fungerer også som kontaktpunkt for tilsynsmyndigheden og styrer kommunikationen i tilfælde af brud på datasikkerheden eller undersøgelser foretaget af databeskyttelsesmyndigheden.

I modsætning til den GDPR-ansvarlige, som håndterer de daglige opgaver, er databeskyttelsesrådgiveren en uafhængig rådgiver, som rapporterer direkte til den øverste ledelse. De giver objektiv vejledning uden interessekonflikter og sikrer, at ledelsen er informeret om compliancerisici. DPO'en og GDPR Manageren sikrer, at organisationen forbliver compliant både operationelt og strategisk.

compliancedashboard

DPO'en skal regelmæssigt overvåge overholdelsen af GDPR, rådgive om DPIA'er, fungere som den primære kontakt for registrerede og myndigheder og rapportere eventuelle overholdelsesrisici til den øverste ledelse.

GDPR Compliance rapportering

Det er god praksis at udarbejde en årlig GDPR- compliancerapport til bestyrelsen. Denne rapport bør give et klart overblik over organisationens aktuelle compliance-status med detaljer om behandlingsaktiviteter, informationsaktivernes tilstand og eventuelle væsentlige opdateringer.

Derudover bør rapporten dække nøgleområder som brud på datasikkerheden, eventuelle organisatoriske ændringer, der kan påvirke GDPR-overholdelse, en kort beskrivelse af organisatoriske GDPR-risici osv. Finansielle aspekter kan også inkluderes og fremhæve tildelte ressourcer, omkostninger, investeringer og tid brugt på GDPR-relaterede opgaver.

Selv om denne type rapportering ikke altid er præcis, bør den give den øverste ledelse en solid forståelse af organisationens GDPR-situation. 

Udarbejd en årlig rapport om overholdelse af GDPR til bestyrelsen, der omhandler behandlingsaktiviteter, brud, organisatoriske ændringer og ressourceallokering i forbindelse med GDPR.

Databeskyttelses principper

Et grundlæggende krav til overholdelse af GDPR er at opretholde grundig dokumentation. Artikel 5, stk. 2, fastslår, at organisationer skal kunne påvise, at databeskyttelsesprincipperne overholdes, hvilket betyder, at alle behandlingsaktiviteter for personoplysninger skal dokumenteres.

Dette omfatter sikring af, at hver behandlingsaktivitet har et hjemmelsgrundlag, etablering af databehandlingsaftaler med tredjeparter og respekt for de registreredes rettigheder, f.eks. retten til at modtage oplysninger om, hvordan deres data behandles, og adgang til disse data. 

Disse krav udgør tilsammen et omfattende sæt af dokumentationsforpligtelser, som din organisation skal holde opdateret.

Nøjagtige og velholdte fortegnelser er vigtige for at demonstrere overholdelse og er kritiske, hvis din organisation nogensinde bliver udsat for et tilsyn.

legal-basis

Oprethold detaljeret dokumentation af alle databehandlingsaktiviteter, retsgrundlag, databehandlingsaftaler osv. for at påvise overholdelse af GDPR.

Artikel 30 fortegnelse

Fortegnelsen over behandlingsaktiviteter skal opdateres regelmæssigt for at afspejle organisationens aktuelle håndtering af personoplysninger. For at holde den nøjagtig og opdateret skal du etablere to vigtige rutineopgaver i organisationen.

Ad Hoc opdateringer

Som GDPR-ansvarlig er det svært at holde styr på alle ændringer i, hvordan persondata behandles på tværs af organisationen. Du kan ikke være opmærksom på alle de ændringer, dine kolleger foretager fra dag til dag i deres behandling af persondata. 

Derfor skal proces- og systemejere sikre, at alle ændringer i, hvordan de håndterer persondata, overholder GDPR-kravene. Uanset om de ændrer en eksisterende proces, stopper en eller starter noget nyt, skal disse ændringer afspejles i fortegnelsen.

Proces- og systemejere bør tage initiativ til enten selv at opdatere fortegnelsen eller informere dig som GDPR Manager, der fører tilsyn med disse opdateringer. Dette ansvar bør ideelt set være en del af deres jobbeskrivelser; for at understøtte dette har de brug for ordentlig træning i GDPR. På den måde bliver GDPR-overholdelse integreret i organisationens daglige drift.

record-of-processiong

Du bør uddanne proces- og systemejere til at opdatere fortegnelsen eller informere GDPR Manager om ændringer. 

Løbende opdateringer

For at sikre, at fortegnelsen forbliver aktuel, kan du tage føringen ved at gennemføre halvårlige eller årlige gennemgange. Denne proces indebærer, at alle proces- og systemejere bliver bedt om at bekræfte, at dokumentationen for deres respektive områder er nøjagtig og opdateret.

validation-task

Udfør halvårlige eller årlige gennemgange af fortegnelser ved at få proces- og systemejere til at bekræfte nøjagtigheden af deres registreringer.

Informationsaktiver (systemer)

Ligesom med ændringer i behandlingsaktiviteterne kan de informationsaktiver, din organisation bruger, og hvordan de bruges, udvikle sig over tid. Det er en naturlig del af enhver organisations udvikling. Disse ændringer skal afspejles i din oversigt over informationsaktiver.

For at opretholde GDPR-overholdelse skal alle ændringer af informationsaktiver være i overensstemmelse med GDPR-krav, risikovurderinger og andre relevante overvejelser.


assets-list

Sørg for, at opdateringer af fortegnelsen over informationsaktiver afspejler eventuelle ændringer og overholder GDPR-krav og risikovurderinger.

Risikovurderinger

Det er vigtigt at sikre, at dine risikovurderinger er nøjagtige og opdaterede. Selv hvis du ikke har ændret, hvordan persondata behandles, kan ændringer i organisationens miljø påvirke risikolandskabet. For eksempel kan virksomheden opleve betydelig vækst og ansætte nye medarbejdere, hvilket påvirker de interne arbejdsprocesser, og hvordan data håndteres i organisationen. På samme måde kan geopolitiske ændringer øge risikoen for cyberangreb.

Du bør derfor regelmæssigt opdatere dine risikovurderinger, så de afspejler den aktuelle situation og sikrer, at de identificerede risici håndteres korrekt. Det kan også ske, at din risikovillighed har ændret sig, så du opfatter risici som for høje, selv om de objektivt set ikke har ændret sig.  

Når du har opdateret og verificeret dine risikovurderinger, bør du sikre dig, at dine sikkerhedsforanstaltninger stadig er effektive til at reducere risici til et acceptabelt niveau.


risk-matrix

Opdater regelmæssigt risikovurderinger for at afspejle organisatoriske ændringer og sikre, at sikkerhedsforanstaltninger effektivt mindsker identificerede risici.

Sikkerhedsforanstaltninger

Din organisations sikkerhedsforanstaltninger skal effektivt håndtere de risici, der er forbundet med behandling af personoplysninger. Det kræver, at du regelmæssigt gennemgår disse foranstaltninger i forhold til dine risikovurderinger for at sikre, at de fortsat er egnede og robuste.

Du kan også overveje at indføre nye sikkerhedsforanstaltninger, især hvis en kontrakt med en sikkerhedsleverandør nærmer sig sin afslutning. Det kan være et ideelt tidspunkt at udforske forskellige eller forbedrede muligheder, der passer bedre til din organisations behov.


security-measures

Gennemgå og opdater regelmæssigt sikkerhedsforanstaltningerne for at sikre, at de fortsat effektivt imødegår risici i forbindelse med behandling af personoplysninger.

GDPR Dokumenter

Alle retningslinjer, procedurer, privatlivspolitikker eller relaterede dokumenter vedrørende behandling af persondata skal opdateres, når der sker ændringer i, hvordan data håndteres. Disse opdateringer skal foretages af de proces- og systemejere, der er ansvarlige for de relevante opgaver. Som GDPR Manager sikrer du, at disse opdateringer er korrekte, normalt gennem en årlig revision.

Vigtige dokumenter, der kræver regelmæssige opdateringer, er bl.a:

  • Informationssikkerhedspolitik
  • Privatlivspolitik
  • Hændelseslog over databrud
  • Proces- og procedurebeskrivelser

policies-and-incidents

Sørg for, at proces- og systemejere opdaterer alle retningslinjer, politikker og procedurer i forbindelse med behandling af persondata, med årlige revisioner for at kontrollere nøjagtigheden.

Den registreredes rettigheder

De registreredes rettigheder skal altid respekteres. Nogle rettigheder, som f.eks. retten til at blive informeret, skal opretholdes proaktivt, mens andre kun udøves efter anmodning.

Dine kolleger bør uddannes til at vide, hvordan de registreredes rettigheder skal respekteres, da kunderne måske ikke altid er klar over deres rettigheder eller detaljerne i GDPR. Selv hvis de ikke bruger de nøjagtige juridiske termer, er din organisation stadig forpligtet til at reagere korrekt.

Alle medarbejdere, især dem i kundevendte roller, skal kende disse rettigheder. De skal have klare retningslinjer for håndtering af anmodninger i praksis og vide, hvad de skal gøre. Indarbejdelse af disse ansvarsområder i standardprocedurer kan hjælpe med at sikre en konsekvent og overensstemmende tilgang.

confirm-awareness

Træn medarbejdere, især dem i kundevendte roller, i at genkende og reagere på anmodninger om registreredes rettigheder i overensstemmelse med GDPR-forpligtelserne.

Slettepolitikker

GDPR kræver, at personoplysninger kun opbevares, så længe det er nødvendigt for det tilsigtede formål, hvorefter de skal slettes eller anonymiseres på en sikker måde. Under din implementering af GDPR identificerede du disse perioder.

For at sikre, at din organisation overholder kravene, bør du oprette klare politikker for opbevaring af data, kategorisere oplysninger som f.eks. medarbejderoptegnelser eller tilmeldinger til nyhedsbreve og tildele opbevaringsperioder. På den måde har du en retningslinje for, hvor længe persondata skal opbevares, og hvordan de skal bortskaffes. For eksempel kan medarbejderdata blive opbevaret i årevis, efter at nogen har forladt virksomheden, mens data om tilmeldinger til nyhedsbreve kun bliver opbevaret, så længe de har givet deres samtykke. 

Disse politikker bør gennemgås, f.eks. hvert år, for at sikre, at de er i overensstemmelse med virksomhedens behov og lovkrav. 

Når data når slutningen af deres opbevaringsperiode, skal de enten slettes sikkert eller anonymiseres til videre brug, f.eks. i forskning.

create-deletion-period

Opret og gennemgå planer for dataopbevaring regelmæssigt, og sørg for, at data slettes eller anonymiseres, når de ikke længere er nødvendige.

Compliance Management System

Der er mange tilbagevendende opgaver og compliance-dokumenter at holde styr på for at overholde GDPR, så det kræver et organiseret system at styre din compliance. Du kan skabe en skræddersyet løsning, der matcher din organisations behov, eller bruge dedikeret GDPR-compliance-software.

Tilpasset system til overholdelse af GDPR (Excel)

Mange organisationer starter med at opbygge deres eget system til overholdelse af GDPR ved hjælp af værktøjer som Excel, Word, delte mapper og e-mail eller chat til kommunikation. 

Denne tilgang kræver en vis praktisk viden om GDPR for at komme i gang, men giver en høj grad af fleksibilitet, fordi alt kan tilpasses din organisations behov. 

Det kan dog blive en udfordring i større organisationer, eller hvis du, der har skabt det tilpassede compliance-system, forlader virksomheden, og en kollega bliver nødt til at overtage det. 

Det kan også være svært at involvere dine kolleger i compliance-arbejdet, da de sandsynligvis ikke vil forstå opsætningen og dens finurligheder lige så grundigt som dig. Derudover er et specialbygget system mere udsat for fejl, især hvis der ikke er nogen logning af ændringer i systemet eller det indhold, dine kolleger tilføjer.

Med god intern viden om GDPR og stærke organisatoriske færdigheder kan du bygge dit eget system til håndtering af GDPR-overholdelse uden andre omkostninger end din tid. Men husk, at tid er penge, både til at udvikle systemet og til at vedligeholde det, når der opstår ændringer, eller hvis der er problemer, der skal løses. 

Desuden kan det løbende GDPR-arbejde blive mere tidskrævende for dig som den person, der fører tilsyn med dokumentation og praktiske opgaver, og for dine kolleger, da et brugerdefineret system kan være svært at navigere i, hvis de ikke har været med til at skabe det.

GDPR Compliance Software

Hvis du ikke har ekspertisen til at designe dit eget GDPR-system, er det et godt valg at vælge GDPR-compliance-software. 

Der er mange gode grunde til at gå denne vej, og du bør udforske dem nærmere. Disse systemer giver en blanding af indbygget GDPR-knowhow via deres funktionalitet og praktisk støtte via brugervenlige grænseflader. Derudover tilbyder de en platform til kommunikation samt styring af roller, tilladelser og adgangsrettigheder. 

Der er meget mere at sige om dette emne, og det er blevet dækket grundigt i vores serie om GDPR-compliance-software, som du måske vil finde interessant at læse: »Har du virkelig brug for software til overholdelse af GDPR?«

compliance tasks

Oprethold et system til styring af GDPR-overholdelse, enten specialbygget eller ved hjælp af GDPR Compliance Software, så du effektivt kan spore opgaver, dokumenter og løbende GDPR-krav.

GDPR Compliance Audits

Audits kan udføres internt af en kollega eller eksternt af konsulenter eller et certificeringsorgan for at verificere, at din organisation håndterer GDPR-overholdelse effektivt.

Audits hjælper ikke kun med at demonstrere, at din organisation overholder GDPR, men de sikrer også, at du opfylder et vigtigt krav i forordningen, nemlig at bevise overholdelse. Hvis der identificeres huller under en audit, er det en mulighed for at rette op på dem og bringe din organisation tilbage i overensstemmelse med GDPR.

audits

Gennemfør regelmæssige interne eller eksterne revisioner for at verificere overholdelse af GDPR og straks løse eventuelle identificerede huller.

Interne Audits

En intern audit er et værdifuldt værktøj for en organisation, især for ledelsen, til at sikre, at GDPR-overholdelsen er på rette spor. Denne audit kan give den øverste ledelse og bestyrelsen en klar vurdering af, om organisationen lever op til sine GDPR-forpligtelser, og fungerer som et »sundhedstjek« af overholdelsen.

Interne audits kan udføres årligt eller oftere, hvis det er nødvendigt, afhængigt af hvad organisationen beslutter.

Selv om GDPR-koordinatoren, som håndterer de daglige compliance-opgaver, kan udføre auditten, er der risiko for partiskhed. For at reducere dette kan auditten udføres med tilsyn fra en kollega, som gennemgår og godkender auditten.

I organisationer med en databeskyttelsesrådgiver (DPO) bør DPO'en ideelt set lede auditten, da et af deres vigtigste ansvarsområder i henhold til GDPR-reglerne er at overvåge GDPR-overholdelse.

Interne audits kan udføres på forskellige måder. Du behøver ikke nødvendigvis at undersøge alt i detaljer; i stedet kan du udføre stikprøvekontroller, men din valgte tilgang skal være i overensstemmelse med formålet med revisionen. Nedenfor er et eksempel på en proces, du kan følge:

Planlægningsfasen

  1. Det første step er at definere scope og omfang for auditeringen
  2. Design et auditeringsprogram og skitser processen
  3. Del tidsrammen, målsætningerne og hvad der forventes af auditen

Feltarbejde og dokumentationsopgaver

  1. Indsamle relevant data
  2. Analyser og dokumenter organisationens processer
  3. Nedskriv opdagelser fra auditeringer og test

Rapporteringsfasen

  1. Highlight styrke og områder med rum for forbedring
  2. Præsenter resultater for ledelsen
  3. Udarbejd en endelig rapport og planlæg et afsluttende møde

Den interne revision kan fremhæve områder, hvor der er behov for justeringer, eller den kan bekræfte, at den nuværende praksis er effektiv og bør fortsætte. Det sidste skridt er at få ledelsens godkendelse af organisationens strategi for overholdelse af GDPR fremadrettet.

Eksterne audits og certificeringer

En ekstern revision har større vægt hos din organisations interessenter, og hvis det er vigtigt for din virksomhed eller måske et lovkrav, er det tilrådeligt at foretage en.

Selv om en ekstern revision tjener samme formål som en intern, er den upartisk og giver et uvildigt billede af din GDPR-overholdelse. Det kan også være mere praktisk at hyre eksterne revisorer, hvis det interne personale ikke har kapacitet eller ekspertise til selv at udføre revisionen.

Flere og flere organisationer søger certificeringer for at bekræfte deres compliance, enten for at leve op til interessenternes forventninger, eller fordi de er påkrævet i henhold til loven eller branchestandarder.

Selvom GDPR-specifikke certificeringer stadig er sjældne, søger mange virksomheder ISO 27001-certificering inden for informationssikkerhed eller en ISAE 3000-erklæring omrking persondatabeskyttelse. Det viser en forpligtelse til at håndtere data sikkert og følge bedste praksis for at identificere og håndtere informationssikkerhedsrisici.

At opnå ISO 27001-certificering viser, at din organisation tager informationssikkerhed alvorligt. Det skaber ikke kun tillid hos potentielle partnere og kunder, men reducerer også den due diligence, der er nødvendig, når andre vælger dig som leverandør eller databehandler.

GDPR Awareness træning

Medarbejderne kan ikke håndtere data effektivt, hvis de ikke ved, hvad der er persondata, hvor de opbevares, eller hvordan de behandles. Det er en af de grundlæggende udfordringer, som skal løses gennem uddannelse for at sikre compliance i håndteringen af persondata, f.eks. kundeoplysninger.

Det er urealistisk at forvente, at medarbejderne håndterer data korrekt uden klar vejledning. De skal undervises i, hvordan de håndterer persondata i forbindelse med deres specifikke opgaver og de digitale værktøjer, de bruger dagligt.

For at imødekomme dette bør du implementere et struktureret træningsprogram, der uddanner alle medarbejdere i GDPR og korrekt håndtering af persondata.

confirm-awareness

Sørg for regelmæssig GDPR-træning for alle medarbejdere, herunder rollespecifikke og onboarding-sessioner, og dokumenter resultatet af træningen for at sikre compliance.

Respons på databrud

Din organisation skal altid være forberedt på at identificere og reagere på potentielle brud på datasikkerheden, der involverer persondata, da risikoen er vedvarende.

Brud kan ske på grund af menneskelige fejl, systemsårbarheder eller ondsindede angreb. For at forebygge og opdage disse hændelser skal din organisation implementere effektive tekniske og organisatoriske foranstaltninger, som GDPR kræver.

Dine kolleger spiller en vigtig rolle i at opdage overtrædelser, især dem, der skyldes deres fejl eller noget, de bemærker i organisationen. IT-afdelingen har også en nøglerolle i at opdage brud ved hjælp af værktøjer som Intrusion Detection Systems.

Når der sker et brud på datasikkerheden, skal du være klar til at handle hurtigt for at minimere de negative konsekvenser. Hvis bruddet involverer persondata, skal du følge GDPR's krav til rapportering og håndtering af hændelsen.

incident-widget

Sørg for, at systemer og medarbejdere er forberedt på at opdage, rapportere og mitigere databrud, der involverer persondata, i overensstemmelse med GDPR.

GDPR og krav til dokumentation af databrud

I henhold til GDPR skal et brud på persondatasikkerheden indberettes til tilsynsmyndigheden, hvis det er sandsynligt, at det vil påvirke enkeltpersoner negativt. Da de fleste hændelser påvirker enkeltpersoner, er tærsklen for indberetning af brud ret lav, hvilket betyder, at næsten alle brud på datasikkerheden skal indberettes.

Derudover skal disse brud kommunikeres til de berørte personer, så de kan tage de nødvendige forholdsregler.

Selv mindre hændelser, der ikke behøver at blive rapporteret til myndighederne, skal logges internt for at overholde GDPR.

incident-log

Rapporter databrud til myndigheder og berørte personer, log alle brud internt og overhold GDPR's lave rapporteringstærskel.

Databrud procedurer

Det er uacceptabelt at stå over for et databrud uden en klar plan. Du skal have etableret procedurer til at identificere og reagere på brud, så snart de opdages.

Disse procedurer skal sikre, at GDPR-kravene til datahåndtering af databrud følges. I den forbindelse skal man også være særlig opmærksom på, hvordan organisationens it-systemer håndteres under et brud for at sikre, at det mindskes, og at man hurtigt kan vende tilbage til normal drift.

Disse procedurer skal gennemgås og opdateres regelmæssigt for at indarbejde best practice og for at holde din organisation velforberedt på at udføre dem effektivt, når der sker et brud.

Gennemgå og opdater regelmæssigt procedurerne for håndtering af databrud, så de er i overensstemmelse med GDPR-kravene og kan udføres effektivt, når det er nødvendigt.

Leverandør compliance

En stor del af din organisations databehandling er sandsynligvis outsourcet til eksterne leverandører, og selv om du sikkert udførte grundige kontroller, da du først indgik et samarbejde med dem, hvad så nu? 

Der kan være gået et år eller mere siden din sidste gennemgang, så har de stadig den ISAE 3000-erklæring eller ISO 27001-certificering, som de oprindeligt leverede?

Selvom dine databehandlere er ansvarlige for at håndtere persondata korrekt på dine vegne, ligger det endelige ansvar hos dig som dataansvarlig. At have en databehandlingsaftale (DPA) på plads, når man onboarder en leverandør, er kun begyndelsen. 

Du skal regelmæssigt sikre, at disse databehandlingsaftaler er relevante, afspejler eventuelle opdateringer af dine krav, og at leverandørens sikkerhedsforanstaltninger forbliver robuste. Hvis din databehandler f.eks. begynder at bruge en ny underdatabehandler, er det op til dig at bekræfte, at denne nye aftale opfylder dine overholdelsesstandarder.

Det er en vanskelig opgave at styre leverandørens compliance. Ideelt set bør du gennemføre regelmæssige leverandøraudits, f.eks. en gang om året, for at sikre, at deres databeskyttelsespraksis fortsat lever op til GDPR-standarderne. 

Det indebærer verificering af certificeringer som ISAE 3000-erklæringen, kontrol af deres historie med brud på datasikkerheden og gennemgang af, om de har fået nye underdatabehandlere. Automatisering af denne proces, f.eks. ved at sende audit-spørgeskemaer eller indstille påmindelser om certificeringsfornyelser og databeskyttelsesopdateringer, kan hjælpe dig med at håndtere denne opgave.

evaluate-audit

Gennemfør regelmæssige leverandøraudits, hold databehandlingsaftalerne opdaterede, og kontroller, at leverandørernes sikkerhedsforanstaltninger fortsat er i overensstemmelse med GDPR.

Løbende overvågning

Det virker måske indlysende, men det er en del af jobbet at holde sig orienteret om den lovgivningsmæssige udvikling i forbindelse med GDPR.

GDPR-regler og best practices udvikler sig, og der kan komme nye juridiske fortolkninger eller retningslinjer. Ved at følge med i disse ændringer kan du justere din organisations praksis tidligt, hvilket hjælper dig med at overholde reglerne og undgå potentielle problemer.

En nem måde at gøre det på er ved at abonnere på opdateringer om lovgivningen, deltage i relevante webinarer og netværke inden for din branche.

progress-and-risk

Overvåg regelmæssigt opdateringer af GDPR-lovgivningen og retningslinjer for at justere praksis og opretholde compliance.

Konklusion

En ting er at implementere GDPR, noget andet er at holde sig GDPR-compliant.

Denne artikel har skitseret flere opgaver, du bør overveje som en del af din løbende styring af GDPR-overholdelse.

Processing activities

.legal compliance platform Start din compliance rejse i dag

Er du nysgerrig på at prøve platformen selv? Oplev vores gratis compliance platform og start din compliance rejse i dag.
  • Kreditkort ikke nødvendigt
  • Ubegrænset tid på gratis plan
  • Ingen binding
Start nu
Book demo
+290 store og små virksomheder bruger .legal
Region Sjælland
Aarhus Universitet
aj_vaccines_logo
Realdania
Right People
IO Gates
Georg Jensen
PLO
Finans Danmark
geia-food
Vestforbrænding
arp-hansen-hotel-group-logo-1
Boligkontoret danmark
Evida
Klasselotteriet
NRGI1
BLUE WATER SHIPPING
Karnov
VP Securities
AH Industries
Energi Viborg
Ingvard Christensen
Lægeforeningen
InMobile
Zwipe
AK Nygart
DEIF
DMJX
KAUFMANN (1)
qUINT Logo
Axel logo
Footer topswirl

Info

.legal A/S

hello@dotlegal.com
+45 7027 0127

CVR: 40888888

Support

support@dotlegal.com
+45 7027 0127
Brug for hjælp?

status page badge

Platform status

Kontorer

Aarhus

Store Torv 14, 2. sal
8000 Aarhus C

København

Vesterbrogade 26
1620 København V

Produkter

Lad mig hjælpe jer i gang

mads-i-blob
Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
arrow-right-white Få en demo

.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

Footer bottomswirl