Træd på speederen og bliv klar til persondataforordningen

Det er lige om hjørnet, at den nye EU persondataforordning træder i kraft. Det tager tid at implementere den og blive klar. Derfor er det nu, du skal træde på speederen og gå i gang med arbejdet!  På jurasprog er det her, man taler om compliance.

Men hvor starter du processen og hvordan sikrer du, at du kommer rundt om alle relevante emner, når persondataforordningen skal implementeres i virksomheden? Det vil jeg prøve at give dig et overblik over.

Compliance – den korte version

Her finder du hjælp til at opnå compliance med persondataforordningen.Mange virksomheder har væsentlig flere personoplysninger end de tror. Især kan det være en smule svært at få øje på de skjulte persondata. Disse kan f.eks. ligge gemt i et CMS eller i spamprogrammet, der sorterer uønsket spam-kommentarer fra på din blog. Der er ikke nogen virksomheder, der er undtaget fra persondataforordningen. Alle skal finde en metode til at nå i mål med at overholde den inden d. 25. maj, hvis du ikke vil risikere sanktioner. Jeg har indledningsvis spurgt Bent fra Leoni Advokater om, hvordan man kan arbejde med compliance.

Bent, hvordan kan virksomheder arbejde med at opnå compliance og altså nå i mål med overholdelse af persondataforordningen inden d. 25. maj?

Bent: Det første skridt er at gøre sig bekendt med forordningens indhold. For langt de fleste giver det ikke mening at gå i kast med at læse de lidt mere end 1.100 sider Justitsministeriets vejledning fylder. Det vil tage for lang tid. Det vil sikkert også efterlade dig i vildrede om, hvad du egentlig skal stille op. Det giver et hurtigere og bedre overblik at læse om emnet, henvende dig til rådgivere, tilmelde dig et seminar, kursus el.lign., hvor forordningen bliver formidlet i øjenhøjde. Det giver dig også mulighed for at stille spørgsmål. Dem er der typisk mange af!

Efter du har orienteret dig, handler det om at få overblik. Hvilke persondata opbevarer du, videregiver, bruger i din digitale markedsføring m.v.? Det er individuelt, hvilke data virksomheder har og den efterfølgende udformning af retningslinjer for håndteringen af persondata i din virksomhed, bør derfor også håndteres individuelt. Konkret vil gennemgangen ofte betyde, at virksomheder skal justere interne arbejdsgange og medarbejderne skal uddannes i nye retningslinjer. Har du flere medarbejdere, kan det være en god ide at udpege én til at have ansvar for processen. Som vi tidligere har talt om, er nogle virksomheder endda forpligtet til at have en DPO.

Har du glemt, hvad en DPO er og hvilke virksomheder, der skal have en, kan du læse det her.

Handlingsplan – kom i mål med GDPR

Her finder du en overskuelig tjekliste til at komme i mål med persondataforordningen.

På baggrund af den viden jeg selv har opnået gennem mange siders læsning, udarbejdelse af blogindlæg og mit samarbejde med Leoni Advokater, har jeg sammensat en tjekliste du kan bruge, når du kaster dig ud i arbejdet med persondataforordningen. Men husk nu at virksomheders brug af persondata er forskellig og planen for at opnå compliance, skal derfor tilpasses den enkelte virksomhed. Under hvert punkt har jeg smidt et link, for at du let kan finde uddybende information om emnet.

Gør dig bekendt med forordningens indhold og afsæt tid og ressourcer til implementeringen.

Gennemgå hvilke, hvordan og hvor personoplysninger håndteres.

  • Hvordan/hvor indsamler, opbevarer, videregiver og behandler du persondata? (Plugins, emailsystemer, Google Analytics mv.)
  • Hvad er formålet med behandlingerne?
  • Er alle persondata du indsamler i dag nødvendige?
  • Har du samarbejdspartnere, der har adgang til personoplysningerne?

Hvilke data der er personoplysninger, samt hvilke der er almindelige og følsomme, kan du finde ud af her.

Vurder om du er dataansvarlig eller databehandler i forhold til de forskellige behandlinger og gennemgå alle aftaler mellem dig og dataansvarlig eller databehandler.

  • Lever databehandleraftalerne op til de nye regler?
  • Er der ingen aftaler, skal disse udformes og være på plads inden d. 25. maj.
  • Overvej og skriv ned, hvordan du fører tilsyn.

Læs om hvornår du er dataansvarlig, samt krav til dataansvarlig og databehandler.

Dokumenter alle behandlinger af persondata.

  • Beskriv udførligt, hvordan du behandler oplysninger og hvilke systemer du benytter. (Dette kan f.eks. være en fortegnelse)
  • Lav en risikovurdering og beskriv, hvordan du vil håndtere risikoscenarier.
  • Udform en konsekvensanalyse, hvis det er påkrævet.

Læs om risikovurdering og konsekvensanalyse.

Du kan se på Leoni Advokaters hjemmeside, hvilke krav der er til en virksomheds fortegnelse.

Sørg for at informere kortfattet og tydeligt til alle registrerede kunder, leads, medarbejdere m.v.

  • Informér om, hvilke oplysninger du har om dem, og deres rettigheder.
  • Kontroller at dine systemer kan håndtere de registreredes rettigheder.
  • Systematiser og eventuelt automatiser, hvornår personoplysninger skal slettes og hvordan.
  • Udarbejd en cookie- og persondatapolitik eller opdater den eksisterende, så den modsvarer de nye regler og gør den tilgængelig på dit website eller din webshop.

Få mere information om registreredes rettigheder her.

Vær sikker på at du har lov til at bruge personoplysninger.

  • Gennemgå eksisterende samtykker/retslige grundlag. Vær sikker på, at de lever op til reglerne.
  • Oplys at registrerede til enhver tid kan trække samtykke tilbage og hvordan de gør det.

Læs om retslige grundlag for behandling af persondata her.

Gennemgå din IT-sikkerhed.

  • Vær sikker på, at denne er tilstrækkelig i forhold til de behandlinger du foretager.
  • Hvem i virksomheden har adgang til oplysningerne og skal dette evt. justeres?
  • Beskriv, hvordan du vil arbejde med IT-sikkerhed, f.eks. ved at lave en årlig sikkerhedsrapport og handlingsplan.

Læs om IT-sikkerhed her.

Oversigt over dokumenter

Dokumentation for overholdelse af persondataforordningenDer findes ikke noget formkrav eller en specifikation af hvilke dokumenter du præcist skal udarbejde. Derudover er der nogle virksomheder, hvor det kun er en anbefaling at bestemte dokumenter udarbejdes. For andre er det et krav. Formålet er, at du skal kunne dokumentere overholdelse af behandlingsprincipperne. Her får du listen:

  • Handlingsplan – din strategi for implementeringen af persondatabeskyttelse i virksomheden.
  • Materiale, der beviser din og ansattes uddannelse i forordningens regler.
  • Fortegnelsen over behandlingsaktiviteter delt op på de enkelte aktiviteter: personaleadministration, kundeadministration, markedsføring osv.
  • Evt. en certificering.
  • Databehandleraftale(r).
  • Policy for persondatabehandlinger – kan indeholde regler for behandlinger af oplysninger i virksomheden og varetagelse af de registreredes rettigheder, hvornår oplysninger krypteres, hvem har adgang til data og hvem må ikke have adgang, procedurer for f.eks. sikkerhedsbrud og henvendelser fra registrerede – hvem gør hvad! Dette er med andre ord virksomhedens retningslinjer.
  • Risikovurdering.
  • Konsekvensanalyse (Data Privacy Impact Assesment).
  • Cookie og privatlivspolitik.

Løbende dokumentation og vedligeholdelse

At leve op til persondataforordningens krav er ikke en enkeltstående opgave, men en vedvarende proces. Du skal altså løbende tage stilling til persondataforordningen. Det gælder f.eks. når du udvikler nye funktioner på dit website, der involverer behandling af persondata. Du er også pålagt at føre tilsyn med databehandlere. Der er således fortsat compliance-opgaver du skal varetage efter den 25. maj 2018. Her får du igen en oversigt, som du kan bruge som rettesnor.

  • Bevis på løbende tilsyn med databehandlere, f.eks digital kommunikation med en databehandler.
  • Kommunikation med registrerede, hvis de har henvendt sig med spørgsmål om persondatabeskyttelse.
  • Samtykkeerklæringer fra de registrerede, hvis dette bruges som behandlingsgrundlag.
  • En årlig sikkerhedsrapport.
  • Logning af ansattes brug af systemer, hvor persondata behandles.
  • Ved sikkerhedsbrud kopi af orienteringen af de registrerede og Datatilsynet.
  • Opdatering af dokumenter ved udvidelse af aktiviteter, der omfatter persondata.
  • Privacy by design og Privacy by default.

Husk, at det ikke er en udtømmende liste til hvordan du opnår compliance, men et godt sted at starte. Med det vil jeg ønske dig rigtig god arbejdslyst!


Spørg eksperterne om EU persondataforordningen

Workshop eller rådgivningsforløb om GDPR

Har du stadig spørgsmål til persondataforordningen og digital markedsføring, tilbyder eNavigate skræddersyede workshops eller rådgivningsforløb.

Du kan læse om mulighederne her

Tinne Bering

Tinne Bering rådgiver virksomheder om digital strategi og markedsføring. På eNavigates blog skriver hun faglige blogindlæg om digital markedsføring og trends.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.