Blog: Sådan beskytter du din virksomhed mod GDPR

6. marts 2019

Den 25. maj 2018 trådte Persondataordningen (GDPR) i kraft, hvilket satte helt nye krav til EU-virksomheders behandling af personlige oplysninger. Forordningen skal være med til beskytte virksomhedernes kunder og medarbejdere, så deres oplysninger ikke falder i de forkerte hænder og bliver misbrugt.

Den strenge databeskyttelse betyder også, at der er store konsekvenser for regelbrud. Her kan bøderne være op til fire procent af virksomhedens samlede omsætning eller 20 millioner euro alt efter hvilket beløb, der er højest. Det vil være bøder, der kan have fatale konsekvenser for virksomheden.

Med en baggrund som uddannet jurist og IT-datamatiker samt certificeret DPO (Data Protection Officer) og Certified Ethical Hacker arbejder jeg til daglig som informationssikkerhedschef. Derfor vil jeg gerne komme med seks trin til hvordan, du kan beskytte din virksomhed og dine kunder mod datalæk og leve op til forordningen.

1. Få et overblik over din persondata
Først og fremmest skal du danne dig et overblik over, hvor du har persondata liggende. Persondata bliver defineret som enhver oplysning, som kan blive knyttet til eller brugt til at identificere en person. Derfor gælder det både oplysninger fysisk og digitalt

2. Oprydning af data
Når du har dannet dig et overblik, er det vigtigt, at du får ryddet op i persondataet. Der er ingen grund til at have unødvendigt data liggende som eksempelvis kontrakter eller informationer på tidligere medarbejdere. Du skal altid vurdere, om du har behov for at have det pågældende data, så du kan give en god grund, hvis Datatilsynet kommer forbi.

3. Behandling hos tredje part
Når du har fået et overblik over persondataet og ryddet op i den unødvendige, skal du finde ud af, hvilket data der bliver behandlet hos en tredje part. I så fald skal du sørge for at indgå en databehandleraftaler med tredjeparten. Hvis denne befinder sig udenfor EU, er der nogle skærpede krav, som du skal være opmærksom. Det betyder, at du enten skal udfylde EU-kommissionens standardkontrakter, være en del af Privacy Shield eller indgå særligt samtykke med personen, det drejer sig om.

4. Oplysningspligt
Som dataansvarlig har du oplysningspligt overfor den person, hvis personoplysninger du behandler. Derfor er det vigtigt, at du fortæller, hvilket persondata du behandler, hvorfor du gør det og på hvilket lovgrundlag, du har behov for at behandle det. I den forlængelse skal du også sørge for at informere om de rettigheder, som personen har i forhold til at trække det tilbage, få indsigt, modtage en kopi, slette data og lignende. I forlængelse heraf er det vigtigt, at du udarbejder og nedskriver en procedure, som du kan fremvise og dokumentere overfor datatilsynet, hvis de henvender sig.

5. Styr på organisatorisk og teknisk sikkerhed
Derefter skal du have styr på den organisatoriske sikkerhed og undersøge, hvem der har adgang til persondataet. Hvis det er fysiske dokumenter, kan du overveje at låse dem inde, mens du kan rydde op i de brugere, der har adgang til systemerne. Det er vigtigt, at det kun er dem, der arbejder dagligt med dataet, der har mulighed for at tilgå dem. Hav også altid styr på den tekniske sikkerhed, så der er stærke adgangskoder samt installeret anti-virus og Firewall på computerne. Det er med til at beskytte dine systemer mod hackerangreb.

6. Undervis og oplys dine medarbejdere
Undervis dine medarbejdere i behandling af personfølsomme oplysninger. Først og fremmest vil undervisningen minimere risikoen for datalæk, og derudover kan en eventuel sanktion blive mildere, hvis du kan vise, at du har gjort alt, hvad du kan for at forhindre det.

Kunne du tænke dig at vide mere om databeskyttelse? Læs mere her.


Skrevet af Martin Richard Skovdal
Informationssikkerhedschef, Danske Fragtmænd A/S