GDPR i 2019 – Hvad skal du gøre?

Gå tilbage

GDPR i 2019 – Hvad skal du gøre?

Persondataforordningen har været uhåndgribelig for mange, og de komplicerede regler er typisk blevet kritiseret for at være ukonkrete og uforståelige for alle andre end juristerne i Bruxelles. Det vil vi gerne lave om på, og derfor har vi lavet en kort liste med håndgribelige tiltag og opgaver, som din virksomhed skal igennem i 2019.

Få styr på din databehandler

Som dataansvarlig skal du sørge for, at din databehandler overholder de vilkår I har vedtaget i databehandleraftalen. Det betyder, at du skal dokumentere, at du har ført tilsyn med din databehandler. Nogle aftaleparter har vedtaget, at databehandleren skal udarbejde en IT-revisionserklæring, men mange har endnu ikke taget konkret stilling til tilsynet i deres databehandleraftaler. Du skal derfor sikre dig, at du i løbet af 2019 kan dokumentere, at dine databehandlere overholder persondataforordningen samt jeres databehandleraftale. Datatilsynet har skrevet en vejledning om emnet, som giver svar på de fleste spørgsmål. Du kan læse vejledningen her.

Få opdateret dine eksterne datapolitikker

Dine eksterne datapolitikker er ikke ”bare” et sæt støvede standardvilkår, som du kan genbruge indtil den næste lovændring. Dine datapolitikker skal afspejle din virksomheds databehandling, og derfor skal de løbende gennemgås og opdateres. Hvis du har fået en ny databehandler eller har ændret praksis i forhold til dine kunder, skal det opdateres i dine datapolitikker. Selv hvis du ikke har ændret noget, bør du gennemgå dine politikker med jævne mellemrum, og skrive ned hvorfor du ikke har ændret i politikkerne. På den måde kan du dokumentere overfor Datatilsynet, at du løbende evaluerer dine datapolitikker og stræber efter at overholde reglerne.

Før kontrol med din virksomhed

Når du alligevel er i gang med at gennemgå dine datapolitikker, bør du samtidig gennemgå dine interne databehandlingsregler – også kendt som den ”interne datapolitik”. Hvis din virksomhed har ændret procedure for behandlingen af data, bør du også få rettet det i den interne datapolitik. 

Derudover skal du løbende føre kontrol med, at dine medarbejdere rent faktisk følger de regler, som du har vedtaget for virksomheden. Gemmer dine medarbejdere fortsat på C-drevet? Benytter medarbejderne virksomhedens fællesdrev til personlige feriebilleder? Husker medarbejderne at sende datapolitikker ud? Du bør løbende føre kontrol med compliance niveauet, og samtidig dokumentere dine kontroller, så du kan evaluere virksomhedens løbende indsats.

Få dokumenteret din indsats og registrer alle databrud

Ofte vil din kontrol med virksomheden medføre, at du gør dig nogle overvejelser om behandlingen af virksomhedens persondata. Det er vigtigt at få skrevet disse tanker ned og dokumentere, hvorfor du træffer de valg du gør. Lav en mappe til dine notater, og sørg for at få skrevet så meget ned som muligt.

Derudover skal du føre et register over de eventuelle databrud, I har haft i virksomheden. Det er ikke alle databrud, der skal meldes til Datatilsynet, men du skal alligevel notere hvorfor du har undladt at melde et databrud til Datatilsynet. Husk, at noget så simpelt som en e-mail sendt til en forkert modtager er et databrud.

Outlook kan være skyld i databrud

Teknologien giver mange muligheder for at gøre vores arbejde lettere, men nogle af disse bekvemmeligheder øger også risikoen for databrud. Vi har f.eks. oplevet, at databrud er sket, fordi Outlook automatisk udfylder modtagerens mailadresse, når Outlook genkender dele af modtagernavnet. Kender man flere personer med navnet ”Anders Nielsen”, er der derfor risiko for, at man kommer til at sende e-mailen til den forkerte – og så har man et databrud. Nogle eksperter foreslår, at du helt bør deaktivere autoudfyldningsfunktionen i Outlook. Hos WTC er vi dog af den opfattelse, at hverdagen også skal kunne fungere. Et sted at starte kunne derfor i stedet være at holde øje med, om den slags fejl sker i din virksomhed, og kun slå funktionen fra, hvis du oplever fejladresserede e-mails som et reelt problem.

Bruger du en sikker browser?

Det virker banalt, men vi oplever mange, der glemmer at opdatere deres telefoner og computere. Det er et ganske enkelt tiltag, som kan øge datasikkerheden betydeligt i din virksomhed. Vi ser også, at mange fortsat bruger den forældede internetbrowser ”Internet Explorer”. Browseren er blevet udfaset af Microsoft, og modtager derfor ikke længere regelmæssige sikkerhedsopdateringer. Det kan derfor udgøre en sikkerhedsrisiko for din virksomhed, hvis dine medarbejdere fortsat bruger browseren. Vi anbefaler, at du finder et alternativ og instruerer dine medarbejdere i at benytte en anden browser fremover.

Vil du vide mere om ovenstående punkter, er du velkommen til at kontakte advokat Gabriel L. K. Martiny eller advokatfuldmægtig Stephan Margaard Svendsen. 

Har du spørgsmål?

Har du spørgsmål til artiklen eller vil du vide om ovenstående, er du velkommen til at kontakte os.

Kontakt en ekspert på området

Har du spørgsmål vedrørende GDPR eller persondata, er du meget velkommen til at kontakte os.

Få mere viden

9 måneder med GDPR – Hvad har vi lært?

Årets ord i 2018 blev ”hvidvask”, men for langt de fleste danske virksomheder var det ord som GDPR, persondataforordningen og databehandleraftaler, der fyldte mest. Læs her, hvilke hovedkonklusioner vi kan drage ud fra de erfaringer, vi har fået.

Læs mere »