Sådan lever du op til Databeskyttelsesloven (GDPR)
Databeskyttelsesloven, der indbefatter reglerne i GDPR loven, kræver en risikobaseret tilgang i lighed med f.eks. Hvidvaskloven.
En risikobaseret tilgang betyder, at uanset om virksomheden er databehandler eller dataansvarlig, så skal der foretages en vurdering af de typer af data, virksomheden opbevarer eller behandler – og derefter sikre, at de organisatoriske og tekniske foranstaltninger er i overensstemmelse med de vurderede risici.
Eksempelvis stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.
|
Eksempelvis beskrevne procedurer angående hvilke medarbejdere der må tilgå hvilke persondata, adgangstilladelser, sikkerhedskurser og uddannelse af medarbejdere.
|
For at leve op til Databeskyttelsesloven, og herunder den gældende GDPR lov, skal virksomheden have styr på:
- En risikovurdering
- Politikker og forretningsgange
- Kontroller og dokumentation
Læs mere om disse nedenfor.
Hvordan laver man så en risikovurdering?
I risikovurderingen vil man typisk starte med at vurdere:
- Hvilken type data, virksomheden opbevarer (der er eksempelvis forskel på, om man opbevarer e-mail-adresser, eller om man har kopier af pas liggende)
- Konsekvensen, hvis data lækkes (for eksempelvis phishing, hacking eller at man internt i organisationen fejlagtigt udsender materiale indeholdende persondata)
- De foranstaltninger, man allerede har taget i brug for at minimere ovenstående risici
På baggrund af disse faktorer kan man vurdere, om man finder risikoen acceptabel, eller om man bør iværksætte nye foranstaltninger for at nedbringe risikoen for datalæk.
Det er også et krav, at man skal kunne redegøre for ens overvejelser i forhold til ovenstående.
Politikker
De fleste virksomheder har fastlagte arbejdsprocesser, som ensarter og systematiserer arbejdet. På samme måde er det en god ide at have fastlagte politikker og arbejdsprocesser for håndteringen af persondata og GDPR loven i det hele taget.
Typisk vil man opdele persondatapolitikken alt efter, om den omhandler persondata på medarbejdere eller kunder. En persondatapolitik for kunder ville f.eks. kunne indeholde følgende punkter:
- En afklaring af, hvorvidt I agerer som databehandler eller dataansvarlig.
- Hvor persondata er placeret – om det er internt eller eksternt? Og hvis det er placeret udenfor EU/EØS, hvad I så har gjort for at sikre et tilstrækkeligt beskyttelsesniveau?
- Hvorvidt I har en DPO ansat. Og i så fald hvad DPO’ens opgaver er, og hvordan I har sikret DPO’ens placering i organisationen.
- Hvad jeres grundlag er for at opbevare data, altså afklaring af lovhjemmel og legitimitet.
- Hvad jeres slettepolitik er, og hvor længe I opbevarer data efter endt kundeforhold. Og hvad jeres lovhjemmel er for dette.
- Eventuelt hvilke tekniske og organisatoriske sikkerhedsforanstaltninger I har for at sikre jer imod sikkerhedsbrud, samt hvordan I vil håndtere et eventuelt brud.
Forretningsgange
En forretningsgang er ofte relativt detaljeret og vil med hensyn til persondata eksempelvis indeholde specifikke procedurer for, hvordan man i det daglige arbejde sikrer, at data bliver slettet, eller hvordan man deler data med andre, hvad end det er interne kollegaer eller eksterne databehandlere. Dette dokument gør det mere overskueligt at overholde alle GDPR regler indenfor GDPR loven.
Kontroller og dokumentation
Man skal samtidig kunne dokumentere, at ens håndtering af persondata lever op til GDPR loven og de dertilhørende regler på området. Eksempelvis skal man kunne dokumentere sletteproceduren af persondata efter endt kundeforhold i henhold til persondataloven.
En virksomhed kan sagtens have faste procedurer vedrørende hvordan og hvor ofte, de sletter data. Men det er ifølge lovgivningen helt essentielt, at den er nedskrevet eller på anden vis dokumenteret, så Datatilsynet kan føre tilsyn med handlingen, og hvorvidt den lever op til lovgivningen - herunder specifikt den gældende GDPR lov og regler.
En måde at styre dokumentationskravet på er ved at understøtte dem i sine IT løsninger og eventuelt automatisere nogle af de processer, der finder sted.