Er din virksomhed GDPR-compliant? Læs mere her

Det er generelt afgørende for en virksomhed at være compliant i forhold til lovgivning, kvalitets- og sikkerhedsstandarder, brancheguidelines og lignende. Det samme gør sig gældende i forhold til GDPR, hvor manglende overholdelse af reglerne kan føre til anseelige bøder.

En compliant virksomhed efterlever gældende regler og retningslinjer. For langt de fleste virksomheder kan det være et vanskeligt og omfangsrigt projekt at sikre, at organisationen er GDPR-compliant.

Der er fem områder som er særligt vigtige og uundgåelige i processen, og som anskueliggør, hvor i organisationen der er behov for indgriben.

Sådan kan et compliance-projekt gribes an:

1. Kortlæg data og datastrømmene i organisationen

Start med at få et overblik over:

Hvilke personoplysninger der behandles og til hvilket formål.
Hvor og af hvem personoplysningerne behandles.
Hvordan personoplysningerne behandles.

Dataansvarlige er ifølge databeskyttelsesforordningens regler forpligtede til at føre en fortegnelse over organisationens behandlingsaktiviteter. Udover at der således er et udtrykkeligt krav om, at der skal foreligge en sådan fortegnelse i organisationen, er udarbejdelsen af denne også en oplagt anledning til at få et overblik over organisationens datastrømme, og dermed få skabt et grundlag for det videre compliance-arbejde.

Datatilsynet har udarbejdet en vejledning omkring fortegnelser. Vejledningen indeholder også en skabelon, der kan anvendes til udarbejdelsen af fortegnelsen. Vejledningen kan findes her.

2. Identificer organisationens sikkerhedsforanstaltninger

Kortlæg de risici der er for at de personoplysninger, som behandles i organisationen måtte blive udsat for et sikkerhedsbrud. Få herefter et overblik over, hvilke fysiske, tekniske og organisatoriske sikkerhedsforanstaltninger, som er iværksat med henblik på at beskytte organisationens personoplysninger. Det kan f.eks. være aflåste skabe, krypterede mails samt adgangskoder på medarbejdernes computere.

Sikkerhedsforanstaltningerne skal være på et passende niveau set i forhold til de identificerede risici, og skal helt overordnet sikre, at alene berettigede og autoriserede personer har adgang til oplysningerne.

3. Få et overblik over eventuelle databehandlere

Find ud af om der foreligger en databehandlerkonstruktion mellem dig og en medpart. Når en virksomhed vælger at benytte en ekstern virksomhed til at udføre opgaver, som indebærer behandling af personoplysninger, skal der nemlig indgås en databehandleraftale, som skal overholde en række specifikke krav i databeskyttelsesforordningen.

Også her har Datatilsynet udarbejdet en vejledning på området, samt en skabelon til en databehandleraftale. Vejledningen og skabelonen kan findes her.

4. Ryd op i arkiver og indbakker

Personoplysninger må som udgangspunkt ikke opbevares længere, end det som er nødvendigt for nå det formål til hvilket de er indsamlet. Mange virksomheder gemmer personoplysninger betydeligt længere, end hvad der er nødvendigt.

Få overblik over om I har oplysninger, som bør slettes. Vær i den sammenhæng opmærksom på, at der i særlovgivning, herunder i f.eks. bogføringsloven eller hvidvaskloven, findes regler som fastslår, at visse oplysninger skal opbevares i en bestemt tidsperiode.

5. Oplær medarbejdere

I de fleste organisationer vil der være en lang række medarbejdere, som får kendskab til personoplysninger i deres daglige arbejde. Det kan være oplysninger om slutkunder, ansøgere, kollegaer osv.

Det er afgørende, at en organisation udarbejder skriftlige procedurer, arbejdsgange og datapolitikker med henblik på at kunne dokumentere sin overholdelse af de databeskyttelsesretlige regler over for datatilsynet. Derudover er sådant skriftligt materiale også til stor hjælp for at sikre, at de enkelte medarbejdere i organisationen har tilstrækkelig viden og forståelse for reglerne til, at de kan overholde de forpligtelser, som deres arbejde relaterer sig til.