GDPR tjekliste| Implementering
Du skal efterleve GDPR-reglerne.
Selvom det måske virker indlysende for nogle, er det faktisk det første skridt - du skal erkende, at din organisation er forpligtet til at overholde GDPR, og at det kræver din opmærksomhed og omhu.
Mange organisationer overser at GDPR har krav om hvordan persondata skal behandles, samt at de faktisk selv behandler persondata.
Hvis din organisation behandler kunde- eller medarbejderoplysninger, som begge betragtes som persondata, så er I forpligtet til at overholde GDPR.
Det næste skridt herfra er at udarbejde en tjekliste over alle de opgaver, der skal udføres for at opnå GDPR compliance.
Anerkend din forpligtelse til at efterleve GDPR-reglerne, og forpligt dig til at handle på dette.
GDPR koordinator
Måske er du allerede blevet udpeget til at implementere GDPR i din organisation?
I en mindre organisation kan det være, at du ender med at stå for implementeringen af GDPR, simpelthen fordi at det var dig der opdagede behovet for at overholde reglerne, og derfor blev bedt om at føre det ud i livet.
I større organisationer vil det ofte komme fra ledelsen, som har identificeret behovet for af efterleve GDPR og herefter udpeger en person til at varetage opgaven.
En GDPR koordinator fungerer som projektleder for implementeringen af GDPR i organisationen og vil sandsynligvis også have ansvaret for at sikre fortsat overholdelse efter implementeringen.
At opbygge GDPR koordinatorens ekspertise til at lede projektet bør være en første prioritet for organisationen. Det kan være via kurser om GDPR og informationssikkerhed, samt sparring med fagpersoner indenfor - eller udenfor organisationen. Det vil føre til at GDPR kan implementeres på basis af afprøvede metoder fremfor at vedkommende skal opfinde alt fra bunden.
Udpeg en GDPR koordinator til at implementere GDPR i organisationen, og sørg for at vedkommende får de nødvendige kompetencer til dette via GDPR- og informationssikkerhedskurser.
Ledelsesopbakning
Som ansvarlig for at gøre din organisation GDPR compliant, så skal du sikre ledelsens opbakning. At blive GDPR compliant vil kræve betydelige ressourcer i organisationen, især arbejdstimer, og sandsynligvis en vis økonomisk investering i at tilkøbe- eller justere brugen software og hardware.
Med ledelsens støtte bliver det lettere at gennemføre de nødvendige ændringer, da de har det sidste ord i beslutningsprocessen - og særligt når det påvirker budgettet og potentielt organisationens infrastruktur og arbejdsprocesser. Du får fra starten brug for deres godkendelse af retningslinjer og projektrammer for GDPR projektet, så det kan holdes på rette spor. Dette bliver din løftestang i organisationen når du render ind i udfordringer.
Få ledelsens opbakning til at implementere GDPR i din organisation.
Forandring er vanskelig...
Ledelsen må indse, at det kan lægge et betydeligt pres på den nye GDPR koordinator, at organisationen skal transformeres til at efterleve GDPR - særligt hvis 'informationssikkerhed' er nyt ord for organisationen.
Ofte får GDPR koordinatoren tildelt dette projekt oveni en allerede fuld arbejdskalender med andre opgaver. I sådanne tilfælde må organisationen erkende, at GDPR er en omfattende opgave at løse, og som ikke kan hastes igennem eller løses halvhjertet.
At lede implementering af GDPR kræver, at GDPR koordinatoren opkvalificerer sig inden for databeskyttelsesreglerne og best-practice i informationssikkerhed. Projektet kommer til at involvere komplekse regler, tilpasning af IT-systemer, og så kræver det en forretningsforståelse, så regler og IT kan implementeres i organisationens virkelighed. Det er ikke nogen nem opgave, da projektet kan komme til at påvirke næsten alle arbejdsprocesser og IT-systemer i organisationen.
Implementering af GDPR kommer til at lægge pres på GDPR koordinatoren, som formentlig vil møde modstand fra kollegaer, når de bliver påkrævet at lave ændringer i arbejdsprocesser, fordi de føler, at det komplicerer deres arbejde. I disse situationer vil kollegaerne forvente gode begrundelser af GDPR koordinatoren, men det kan være svært at levere for vedkommende. Databeskyttelsesreglerne og IT er komplekse emner, og det bliver en udfordring at balancere disse med organisationens virkelighed, dvs. de arbejdsprocesser hvor der behandles persondata..
For at lette dette pres på GDPR koordinatoren, så bør denne have en projektejer med en ledelsesstilling i organisationen, der løbende kan yde vejledning og støtte. Denne opbakning er afgørende for en succesfuld implementering og for GDPR koordinatoren ve og vel - det kan være hårdt at være budbringer. Uden oprigtig opbakning fra ledelsen, så GDPR koordinatoren stå over for en svær kamp, når der skal gennemføres ændringer henimod at sikre GDPR compliance.
Udpeg en projektejer i ledelsen (direktør, IT chef, el. lign.), således at ledelsen har ejerskab af implementeringen, og kan give afklaring og udøve støtte til GDPR koordinatoren undervejs i projektet.
Projektgruppe
GDPR implementeringen påvirker hele organisationen, og derfor vil det bidrage til projektet positivt at nedsætte en projektgruppe, som inddrager nøglepersoner fra organisationen.
Det er en god idé at inkludere en kollega fra IT i projektgruppen, da persondata primært behandles via software og hardware, som er deres ansvarsområder. Deres ekspertise vil være afgørende for at implementere de tekniske sikkerhedsforanstaltninger, der kræves for at sikre GDPR-efterlevelse i organisationen.
Det er også værdifuldt at have en kollega med fra jura i projektgruppen. Mange beslutninger vil kræve en praktisk fortolkning af, hvordan GDPR gælder for jeres arbejdsprocesser, og den rigtige juridiske fortolkning kan potentielt spare meget besvær.
I HR har de stor erfaring med behandlingen af persondata om ansatte, og har helt sikkert en god praktisk forståelse herom, hvilket kan gavne andre dele af organisationen, og samtidig så vil deres forretningsprocesser blive betydeligt påvirket af GDPR. Ved at inkludere en kollega fra HR kan projektet køre mere gnidningsfrit med deres indsigt og erfaringer, som giver et førstehåndsindblik i, hvordan GDPR påvirker deres arbejde.
Afhængigt af din organisation kan det også være relevant at inddrage kolleger fra andre afdelinger som økonomi, dataanalyse, kundeservice eller marketing. I sidste ende bør projektgruppens struktur afspejle, hvordan GDPR vil påvirke de forskellige områder af forretningen, og hvordan man bedst opfylder organisationens behov.
Etabler en projektgruppe til at støtte med implementeringen af GDPR - med mindre, at din organisation er meget lille.
GDPR projektplanlægning
Som med ethvert komplekst projekt kræver din GDPR-implementering en god projektplan. En klar plan vil gøre processen mere overskuelig, uanset om din organisation er stor eller lille.
For at udarbejde denne plan skal du have et godt overblik og en forståelse af GDPR for at kunne identificere, hvad der skal implementeres, og hvordan det bedst kan gøres.
Det er en god idé at strukturere planen som et projekt, hvor forskellige compliance-opgaver har indbyrdes afhængigheder. Disse afhængigheder vil påvirke, hvordan projektet udfolder sig, og hvilke trin der skal prioriteres først.
Ved at læse denne artikel vil du få vejledning i, hvordan du kan organisere din GDPR-projektplan.
Udarbejd en projektplan for organisationens GDPR implementering.
GDPR dokumentation
Organisationens GDPR compliance skal dokumenteres, da dette er et krav i GDPR. I er altså ikke GDPR compliant, hvis I ikke kan dokumentere dette.
Dokumentationskravet kommer af behovet for altid at kunne demonstrere, at din organisation overholder de databeskyttelsesprincipper, der er beskrevet i GDPR's artikel 5, stk. 2. Desuden har Artikel 30 også omfattende dokumentationskrav for hver eneste behandlingsaktivitet.
Det er derfor ikke nok blot at hævde, at din organisation håndterer persondata sikkert; du skal kunne fremvise dokumentation, der demonstrerer dette!
Dette kan du dokumentere ved at beskrive alle aspekter af din GDPR compliance, fra registrering af behandlingsaktiviteter til de tilhørende risikovurderinger, samt hvordan sikkerhedsforanstaltninger er blevet implementeret for at mindske risici.
Dette gælder for alle dele af din GDPR compliance,- således at alle processer, systemer og relaterede aktiviteter skal kunne dokumenteres som værende i overensstemmelse med GDPR-reglerne.
Du skal kunne dokumentere, at din organisation efterlever GDPR.
GDPR System
Det kan være en udfordring at håndtere sin GDPR dokumentation, da den skal være både detaljeret, og samtidigt være praktisk anvendelig, så du kan arbejde operationelt med GDPR compliance i det daglige.
GDPR compliance kræver meget arbejde af din organisation, og det er vigtigt at have en effektiv måde at styre dette på. Du kan lave dit eget GDPR system ved at bruge værktøjer som Excel, Word-dokumenter, delte mapper og e-mails til at koordinere indsatsen med din projektgruppe og kollegaer. En anden mulighed er dog at anvende GDPR compliance software, som er specifikt designet til at hjælpe din organisation med at efterleve alle GDPR-reglerne.
Mange organisationer starter med at lave deres GDPR dokumentation i Excel, mv., og efter at have arbejdet professionelt med deres compliance i noget tid, så skifter de typisk til at bruge GDPR compliance software, da det simpelthen gør arbejdet bedre og nemmere - på alle måder og for alle parter.
Indfør et system til at arbejde med GDPR compliance i det daglige - fx Excel eller GDPR compliance software.
Data Mapping
GDPR vedrører behandlingen af persondata, og derfor skal du vide, hvordan din organisation behandler persondata. Du finder ud af hvordan behandlingen af persondata foregår ved at foretage en data mapping (eller kortlægning) af organisationens brug af data – også kaldet 'data mapping':
- Hvem håndterer persondata?
- I hvilke forretningsprocesser behandles persondata?
- Hvilke teknologier anvendes til at behandle persondata?
Hvordan kortlægges persondata?
Du skal identificere al persondatabehandling i hele organisationen, hvilket betyder, at du skal finde måder at afdække det på i hver eneste del af virksomheden. Det kræver en systematisk tilgang for at sikre, at al databehandling er inkluderet i kortlægningsøvelsen.
En effektiv metode er at arrangere sessioner med hver teamleder i organisationen. Dette kommer til at tage lidt tid, men det er en god og grundig måde at gøre det på.
Kortlægning med teamledere
Teamlederne har et klart overblik over, hvad der foretages i deres teams. Ved at organisere sessioner med dem, så kan du kortlægge alle processer og systemer, hvor persondata behandles, både i deres teams og på tværs af organisationen.
I stedet for disse sessioner, så kunne du også bede dem om at udfylde et spørgeskema. Det er dog usandsynligt, at dette giver lige så gode resultater, da teamlederne måske ikke fuldt ud forstår GDPR, definitionen af persondata eller betydningen af denne opgave for organisationen. De vil sandsynligvis prioritere hasteopgaver og måske ikke forstå præcis, hvilke oplysninger du har brug for i spørgeskemaet.
Til gengæld giver kortlægningssessionerne dig mulighed for at guide en 1-til-1 samtale og fokusere på det, der er mest relevant at få afklaret.
Disse sessioner giver dig også mulighed for at understrege vigtigheden af teamledernes samarbejde og rolle i organisationens GDPR compliance. Dette vil styrke samarbejdet og sikre, at projektets nøglepersoner er engagerede fra starten, hvilket vil bidrage til en mere smidig og mere integreret implementeringsproces.
Identificer alle teamledere i organisationen og indkald dem til et møde for at kortlægge teamets behandlinger af persondata - eller bed dem udfylde et spørgeskema.
Forberedelse af møde med teamledere
Kom i gang med dine kortlægningssessioner med teamlederne ved først at udsende mødeindkaldelser til hver enkelt af dem. Forvent, at hver af disse sessioner varer 1-2 timer. Hvis organisationen har 10 teams og teamledere, så skal du altså have planlagt 10 af disse sessioner.
For at sikre, at sessionerne forløber gnidningsfrit, er det en god idé at sende noget baggrundsinformation om dit projekt på forhånd. Dette hjælper med at afstemme forventningerne og giver teamlederne en klarere forståelse af, hvad samtalen vil omhandle.
Derudover kan du inkludere nogle enkle og letforståelige materialer, som for eksempel en definition af ‘persondata’, ‘informationsaktiver’ og ‘behandlingsaktiviteter’. Ved at give dem denne kontekst forbereder du deltagerne på samtalen og reducerer risikoen for forvirring om disse begreber under sessionerne.
Forbered materiale til kortlægningssessioner og inviter alle teamlederne i organisationen til et møde for at kortlægge deres teams' behandling af persondata.
Kom godt i gang med Data Mapping
Under kortlægningssessionerne anbefales det, at du starter med at kortlægge alle systemer i organisationen, da dette ofte er mere håndgribeligt for teamlederne end 'processer'.
Når du, sammen med teamlederen, har udforsket og kortlagt alle systemer som anvendes til behandlingen af persondata , så bør du derefter fokusere på de processer, hvor persondata behandles i teamet.
Det er vigtigt at kortlægge både systemer og processer, da flere processer kan bruge det samme system, ligesom flere systemer kan bruges til den samme proces.
Din data mapping skal dække alle aspekter ved behandlingen af persondata.
Kortlægning af informationsaktiver
I sessionerne med teamlederne skal du starte med at identificere alle informationsaktiver i hvert team, såsom IT-systemer, mapper med persondata, computere, mobiltelefoner, vigtige regneark med personoplysninger, osv.
Dette overblik er afgørende for at planlægge sikkerhedsforanstaltninger, der beskytter organisationens persondata og for at sikre GDPR compliance. Da persondata primært behandles gennem IT-systemer, vil en effektiv håndtering af disse være et centralt fokusområde for organisationens GDPR compliance.
Vi vil udforske dette igen senere i artiklen.
Identificer og dokumenter alle informationsaktiver hvormed persondata behandles i hvert team.
Kortlægning af behandlingsaktiviteter
Når du har identificeret informationsaktiverne i starten af sessionen, så bør de efterfølgende fokusere på at identificere og navngive alle processer i teamene, hvori persondata behandles.
Sørg for først at identificere alle disse behandlingsaktiviteter, før du beskriver dem i detaljer, da dette vil understøtte en mere struktureret tilgang. Det er farligt at blive fanget i detaljerne for tidligt i processen - først skal overblikket etableres.
Herefter skal de identificerede behandlingsaktiviteter beskrives grundigt for at opnå en dyb forståelse af hvordan persondata behandles i hver enkel process. Disse beskrivelser vil være værdifulde for organisationens GDPR compliance i mange år frem, da de bidrager til at skabe klarhed, så sørg for, at de er så omfattende som muligt. Dette vil også gøre det lettere for kollegaer, uden kendskab til processerne på forhånd, at deltage og hjælpe med processen.
Identificer og dokumenter alle behandlingsaktiviteter i alle teams.
Lokalt ejerskab
Når du har kortlagt behandlingsaktiviteterne og informationsaktiverne og beskrevet dem i detaljer, bør du bede teamlederne om at identificere, hvilke af deres medarbejdere der er ansvarlige for hver af disse behandlingsaktiviteter og informationsaktiver.
Dit GDPR-projekt bliver operationelt ved at tildele ejerskab af disse processer og informationsaktiver til dine kolleger. Dette gør det muligt for dig at indhente nødvendig information direkte fra de ansvarlige for specifikke aktiviteter og uddelegere opgaver til dem.
Denne tilgang har vigtige implikationer for din implementering af GDPR:
- Det uddelegerer ansvaret til de kollegaer, der er bedst rustet til at sikre compliance.
- Det integrerer naturligt dine kollegaers viden i projektet.
- Det skaber grundlaget for at integrere GDPR i organisationens daglige arbejdsprocesser.
Eksempelvis, så kan den løn-ansvarlige, der har et detaljeret indblik i, hvordan medarbejderdata behandles, sikre, at lønsystemet overholder GDPR både under og efter implementeringen.
På dette stadie kan teamledernes involvering allerede begrænses til blot at godkende deres teams bidrag til GDPR-implementeringsprojektet. For specifikke detaljer kan du nu gå direkte til den kollega, der er blevet udpeget som ansvarlig, og denne medarbejder kan inddrage sin teamleder, hvis de finder det nødvendigt.
Tildel ejerskab af alle behandlingsaktiviteter og informationsaktiver til specifikke kolleger i organisationen.
Tildel ejerskab for alle behandlingsaktiviteter og informationsaktiver til specifikke kollegaer i organisationen.
Fortegnelsen
På dette stadie har du nu kortlagt organisationens behandlingsaktiviteter og informationsaktiver og identificeret, hvem du kan kontakte angående hver proces eller system i organisationen.
For hver behandlingsaktivitet, du har kortlagt, skal du nu beskrive, hvordan persondata håndteres i overensstemmelse med kravene i GDPR's artikel 30.
Artikel 30 i GDPR kræver, at din organisation dokumenterer al behandling af persondata i det, der kaldes en fortegnelse. Dette indebærer en række krav, som er beskrevet beskrevet i en anden artikel om 'fortegnelsen'.
Ud over at opfylde kravene til til udfyldelse af fortegnelsen, så er det en god idé at knytte dine informationsaktiver til de specifikke behandlingsaktiviteter i dit GDPR system. Dette vil give dig et overblik over, hvordan organisationens IT-systemer, hardware, eksterne leverandører osv. bruges i hver af organisationens processer.
For eksempel, da behandlingen af persondata typisk foregår gennem IT-systemer, bør du koble disse processer med de relevante systemer. Denne sammenhæng gør det muligt at foretage justeringer og implementere sikkerhedsforanstaltninger efter behov i fremtiden, så du fx vil kunne slette persondata i et af dine systemer, hvis en kunde beder om dette, el. lign.
Udfyld fortegnelsen (artikel 30) for din organisation.
Gap-analyse
I praksis vil du formentlig ikke kunne opfylde alle fortegnelsens krav ved første forsøg på at udfylde informationen om dine behandlingsaktiviteter.
Dette er helt normalt.
I stedet bør du oprette en opgaveliste for at dokumentere eventuelle udestående efterhånden som du støder på dem. På den måde kan du vende tilbage til disse punkter og give fyldestgørende svar senere.
At udfylde fortegnelsen er en iterativ proces, hvor der løbende sker udveksling mellem dig (GDPR koordinatoren) og de procesansvarlige med ansvar for de enkelte behandlingsaktiviteter, og eventuelt med deltagelse af din projektgruppe.
Denne proces kan i praksis være frustrerende, men det er en del af arbejdet og vil i sidste ende styrke din GDPR compliance. GDPR kræver, at dine kolleger også forstår, hvad virksomheden skal gøre for at blive compliant, så denne frem-og-tilbage-proces vil hjælpe med at integrere en forståelse af GDPR i organisationen.
Derudover skal fortegnelsen altid afspejle de aktuelle forhold i takt med, at organisationen udvikler sig og ændrer sig. Det betyder, at du løbende skal opdatere fortegnelsen for at sikre, at den er i overensstemmelse med ændringer i arbejdsprocesser mv..
Det er derfor også afgørende at opretholde et godt samarbejde med dine kollegaer, da du vil være afhængig af, at de informerer dig om ændringer i deres ansvarsområder, så registreringerne i fortegnelsen kan holdes opdaterede.
Identificer mangler/udeståender i din fortegnelse og i organisationens nuværende GDPR praksis, og sørg for at adressere dem systematisk.
Risikovurderinger
Når du har dokumenteret dine behandlingsaktiviteter i din fortegnelse og kortlagt dine informationsaktiver, så bør du udføre risikovurderinger for hver behandlingsaktivitet og informationsaktiv.
Disse vurderinger hjælper dig med at forstå, om behandlingen af persondata er udsat for risici, og om disse risici potentielt kan skade de individer, hvis data din organisation behandler..
Dette er en omfattende opgave.
For at få et dybdegående indblik i risiciene bør du involvere de kollegaer, der har det daglige ansvar for disse processer og informationsaktiver, og du bør lade dem tage ejerskabet for disse risikovurderinger.
Dette kan virke omsonst, men det er et påkrævet arbejde, og det betaler sig faktisk hjem for din organisation.
GDPR kræver, at du implementerer 'passende' sikkerhedsforanstaltninger, og disse risikovurderinger vil vejlede dig i at bestemme, hvad disse foranstaltninger bør være for hver af dine behandlingsaktiviteter og informationsaktiver.
Det er risikovurderingerne der afgør, hvad der er 'passende' sikkerhedsforanstaltninger og de fungerer derfor som et værktøj, der gør det muligt for din organisation at skræddersy sine tiltag til det identificerede risikoniveau. Denne tilgang til risikostyring giver en mere omkostningseffektiv GDPR implementering, da du nu kan prioritere din indsats på det vigtigste.
Det er ikke ualmindeligt, at virksomheder undervurderer vigtigheden af at udarbejde udførlige risikovurderinger.
Hvis du ikke har lavet udførlige risikovurderinger, så er der større risiko for, at du opnår en form for pseudo-compliance, hvilket vil påvirke din databeskyttelse negativt.
Pseudo-compliance øger din risiko for databrud og gør det mere sandsynligt, at du vil modtage bøder fra databeskyttelsesmyndighederne, da de også vil vurdere kvaliteten af dine risikovurderinger i tilfælde af et databrud.
Udfør risikovurderinger for samtlige behandlingsaktiviteter og informationsaktiver.
Databehandleraftaler
Som en del af implementeringen af GDPR skal du sikre, at der indgås gyldige databehandleraftaler med alle organisationens databehandlere. Selvom databehandlerne ofte leverer disse aftaler i en standard versionen, så er det dit ansvar at sikre, at de overholder GDPR-kravene. Du skal altså også stadig foretage din egen due diligence af databehandlerens praksis for at sikre, at databehandlerne behandler persondata sikkert og overholder reglerne.
Dine risikovurderinger bør vejlede dig i vurderingen af, om databehandlingen hos disse partnere er tilstrækkeligt sikker.
Databehandleraftaler skal etableres med alle databehandlere, og det skal sikres, at databehandlerne behandler dine persondata sikkert.
Internationale overførsler
Du finder formentlig ud af, at nogle af dine forretningspartnere eller databehandlere behandler persondata uden for EU, f.eks. i lande som USA, Indien eller Kina.
Overførsel af persondata til lande uden for EU betragtes som en international overførsel, og det er et kritisk aspekt af din GDPR compliance, som skal håndteres korrekt.
Du skal sikre, at al behandling af persondata under dit ansvar altid foretages korrekt - også når persondata udliciteres til en partner udenfor EU's grænser. Nogle lande har mindre strenge databeskyttelsesregler eller overvåger datatrafik, hvilket kan kompromittere beskyttelsen af dine kunders persondata, når det overføres til disse lande.
Det er også vigtigt, at du har et lovligt grundlag i henhold til GDPR for at foretage disse overførsler, hvilket kan findes i kapitel 5 af GDPR.
Selvom internationale overførsler måske ikke er noget der foretages dagligt, så benytter mange virksomheder databehandlere i lande som USA, hvor særligt flere softwareudbydere har hovedkontor og datacentre.
Sørg for at inkludere disse internationale overførsler i din kortlægning af processer og IT-systemer, så du har et klart overblik over, hvornår og hvordan dine data overføres internationalt. Til sidst skal du sikre, at din organisation har de nødvendige sikkerhedsforanstaltninger for at overholde GDPR ved disse internationale overførsler.
Identificer internationale overførsler af persondata, sørg for at have et lovligt grundlag for disse overførsler, og implementer passende sikkerhedsforanstaltninger for at beskytte disse data.
Sikkerhedsforanstaltninger
Behandlingen af persondata skal tilpasses de risici, som du har identificeret i dine risikovurderinger. Det betyder, at dine sikkerhedsforanstaltninger skal tilsvare de identificerede risici i dine processer og informationsaktiver med det formål at reducere dem til et acceptabelt niveau.
Disse foranstaltninger kan være både tekniske og organisatoriske. Tekniske foranstaltninger kan for eksempel omfatte firewalls, mens organisatoriske foranstaltninger kunne være sikkerhedsuddannelse for medarbejderne.
Implementer sikkerhedsforanstaltninger for at reducere risici til et acceptabelt niveau.
Privacy by Design og Privacy by Default
Alle behandlinger af persondata i din organisation skal være sikre, og principperne om Privacy by Design og Privacy by Default skal indlejres i hver proces, IT-system og sikkerhedsforanstaltning. De skal altså designes til at beskytte persondata gennem hele dets livscyklus – fra indsamling til sletning.
Har du nogensinde brugt software, der giver dig mulighed for at slå privatlivsbeskyttelse til? Ifølge princippet om Privacy by Default skal disse indstillinger være aktiveret som standard, uden at brugeren skal foretage sig noget!
Principperne om Privacy by Design og Privacy by Default skal implementeres i alle behandlinger af personoplysninger.
Evaluer organisationens tværgående sikkerhed
Udover at vurdere hver enkelt organisatorisk proces, aktiv og medarbejdernes handlinger, er det nødvendigt at vurdere de generelle sikkerhedsforanstaltninger i hele organisationen.
Hvilke tværgående foranstaltninger kan din organisation implementere for at styrke databeskyttelsen på tværs af hele virksomheden? For eksempel ville installation af et alarmsystem på virksomhedens kontorer være en sådan foranstaltning, da det øger sikkerheden for alle aktiver på kontoret.
Implementer tværgående sikkerhedsforanstaltninger for at sikre den generelle sikkerhed for alle organisationens aktiviteter.
Lav en informationssikkerhedspolitik
En informationssikkerhedspolitik bør beskrive de etablerede sikkerhedsforanstaltninger i organisationen, hvordan data behandles sikkert, og hvad medarbejderne skal gøre for at opretholde bl.a. GDPR compliance i deres daglige arbejde.
Politikken bør dække alt fra adgangskontrol og datakryptering til beredskabsplaner ved hændelser. Den bør også opdateres regelmæssigt for at afspejle nye risici eller ændringer i organisationens processer eller teknologi.
Denne politik påvirker, hvordan organisationen agerer, og de ressourcer, der kræves til GDPR compliance, og derfor skal topledelsen godkende denne. Deres opbakning er afgørende for at denne politik kan efterleves i praksis, og så den forbliver relevant for organisationen.
Ved at have en klar og vel kommunikeret politik, som alle kollegaer kan forstå, så sikrer du, at alle har adgang til at læse de overordnede retningslinjer for, hvordan data beskyttes i organisationen.
Udarbejd en informationssikkerhedspolitik, få ledelsens godkendelse, og gør den tilgængelig for alle dine kollegaer.
Menneskelig adfærd
Det er i sidste ende dine kollegaer, der holder organisationen kørende, og ikke din 'GDPR dokumentation'. En stor del af din GDPR-indsats afhænger af, at dine kolleger behandler persondata korrekt og følger organisationens retningslinjer.
I praksis betyder det, at medarbejderne skal trænes i at behandle persondata i overensstemmelse med virksomhedens politikker. De skal også have et basalt kendskab til GDPR-reglerne og god praksis i IT-sikkerhed, så de altid håndterer data sikkert. Det kan fx sikres via GDPR awareness træning. Der skal kun ét databrud til for at få alvorlige konsekvenser for dine kunder, kolleger og virksomhedens drift.
Uddan regelmæssigt dine kollegaer i GDPR-reglerne og basal IT-sikkerhed, således at de kan behandler persondata efter reglerne og sikkert.
Retningslinjer til medarbejdere
Lav klare retningslinjer og procedurer, der fungerer som reference for medarbejdernes behandling af persondata i deres daglige arbejde. Hver proces, der er beskrevet i fortegnelsen, bør have en procesbeskrivelse, som inkluderer praktiske retningslinjer for behandlingen af persondata.
Dette bør også gælde for IT-systemer, hardware og andre værktøjer, der benytter ved behandlingen af persondata.
Lav retningslinjer og procedurer for behandling af persondata.
Retningslinjer til at efterleve de registreredes rettigheder
Enhver, hvis persondata din organisation behandler, har rettigheder i henhold til GDPR, og det er dit ansvar at sikre, at disse rettigheder overholdes. For eksempel kan en kunde anmode om adgang til de persondata, som din virksomhed har om dem. Den medarbejder, der modtager en sådan anmodning, skal vide, hvordan den skal håndteres for at efterleve GDPR-reglerne.
Alle medarbejdere, der interagerer med kunder, kolleger eller andre personer, bør derfor modtage klare retningslinjer om, hvordan de i praksis kan sikre overholdelse af disse rettigheder.
Lav retningslinjer for medarbejdere om håndtering af de registreredes rettigheder.
Kommunikation med de registrerede
En central forpligtelse i GDPR-reglerne er, at individer har ret til proaktiv og gennemsigtig information om, hvordan din organisation behandler deres persondata.
Dette er grunden til, at virksomheder en privatlivspolitik, typisk tilgængelig på deres hjemmeside, hvor denne information klart præsenteres. Du kan linke til denne politik i e-mails eller give den til kunder og andre efter anmodning. Ved at centralisere kommunikationen i en privatlivspolitik sikrer du, at alle nemt kan få adgang til denne relevante information.
Det er dog vigtigt, at denne information gives, før du behandler nogens persondata. For eksempel, hvis du beder folk på gaden om at tilmelde sig din velgørenhedsorganisation, skal du informere dem i øjeblikket om, hvordan deres persondata vil blive behandlet, hvis de tilmelder sig din organisation. I sådanne tilfælde kan en flyer med forklaring på databehandlingen være en enkel og gennemsigtig måde at opfylde dette krav på.
Sørg for, at denne information gives korrekt til de registrerede for hver af de persondatabehandlingsaktiviteter, der er opført i dine Registreringer af Behandlingsaktiviteter.
Lav en privatlivspolitik og gør den tilgængelig via din hjemmeside.
Kommunikation med egne medarbejdere
Du skal også informere dine medarbejdere om, hvordan deres persondata behandles, da du behandler information om deres løn, sygefravær, osv.
Denne kommunikation kan ske internt via intranettet eller lignende platforme.
Husk, at dataindsamlingen starter allerede i rekrutteringsfasen, så det er vigtigt at informere jobansøgere om, hvordan deres data vil blive behandlet fra starten. Igen kan en klar privatlivspolitik på din hjemmeside, der forklarer, hvordan du håndterer deres personoplysninger, være en enkel måde at sikre denne gennemsigtighed.
Lav en privatlivspolitik eller et lignende dokument specifikt til dine medarbejdere.
Databrud
Det hænder, at databrud sker, og i disse tilfælde, så skal din organisation kunne identificere disse brud på persondatasikkerheden. Uvidenhed om et databrud er ikke en gyldig undskyldning under GDPR, og det vil blive betragtet som forsømmelighed.
Hvis du ikke kan identificere et databrud, så kan du heller ikke begrænse skaden, som kompromitteringen af persondata medfører. Derfor bør du implementere sikkerhedskontroller, der gør det muligt for din organisation proaktivt at opdage sådanne brud.
Det kræves desuden, at alle persondatabrud registreres i en log, hvor hvert brud kategoriseres og vurderes, uanset hvor alvorligt det er. Hvis et brud vurderes at have en væsentlig påvirkning på de individer, hvis persondata er involveret, skal det rapporteres til databeskyttelsesmyndigheden, og de berørte personer skal også informeres, så de kan forsøge at begrænse skaden.
Disse regler sikrer, at din organisation altid er opmærksom på databrud og er klar til at handle hurtigt, når de opstår.
Implementér sikkerhedskontroller, så du proaktivt kan opdage databrud, og før en log til at registrere identificerede databrud
Databeskyttelsesrådgiver (DPO)
Offentlige organisationer og virksomheder, der behandler store mængder persondata, eller som behandler følsomme persondata i et stort omfang, er forpligtet til at udpege en databeskyttelsesrådgiver (DPO).
De fleste almindelige virksomheder er dog ikke forpligtede til at have en DPO, men de kan stadig vælge at udpege en intern eller ekstern DPO, hvis det er relevant. Dette kan styrke organisationens GDPR compliance ved at tilføre mere ekspertise og professionalisme.
Vurder, om din organisation skal etablere rollen som Databeskyttelsesrådgiver i organisationen.
Konsekvensanalyser (DPIA)
Konsekvensanalyser (DPIA) er en særlig form for risikovurdering, som er påkrævet, hvis en organisation planlægger at behandle persondata på en måde, der kan udgøre en høj risiko for de omfattede individer.
DPIA'en hjælper med at identificere og afbøde disse risici, så behandlingen opfylder GDPR-reglerne. De fleste virksomheder behøver dog ikke at gennemføre DPIA'er, da de normalt ikke engagerer sig i højrisko databehandlingsaktiviteter.
Forveksl ikke den generelle risikovurdering med DPIA'en, da de er forskellige. Der er ingen formelle krav til udførelse af risikovurderinger, men det findes for DPIA'er, hvilket du kan læse mere om her.
Hvis en almindelig risikovurdering indikerer et højt risikoniveau, så kan det være en indikation på, at der skal gennemføres en DPIA.
Vurder behovet for at udarbejde DPIA'er på basis af resultaterne af dine generelle risikovurderinger.
Opsummering
Denne artikel har fokuseret på implementeringen af GDPR, og det kan virke overvældende for de fleste organisationer at begynde sådan et projekt.
Det er vigtigt at behandle implementeringen af GDPR, som et projekt i starten og følge en klar trin-for-trin-plan, fordi at det potentielt kan være indgribende for organisationen at foretage denne transformation. Den tjekliste, der er præsenteret i artiklen, giver en solid guide til at påbegynde et sådant projekt.
Denne artikel har dog ikke dækket driften af GDPR compliance efter at projektet er overstået. da dette løbende GDPR compliance bør have et driftsfokus og vedligeholdelsesfokus fra din organisation.
GDPR-reglerne kræver, at din organisation til enhver tid kan påvise sin GDPR compliance, og skal derfor altid kunne dokumentere denne overholdelse, hvis det er nødvendigt.
Info
.legal A/S
hello@dotlegal.com
+45 7027 0127
CVR: 40888888
Support
support@dotlegal.com
+45 7027 0127
Brug for hjælp?
Lad mig hjælpe jer i gang
.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.