GDPR Tjekliste til din virksomhed
Dine kunder stiller større og større krav til dig som virksomhed. Har du styr på din GDPR og sikre du dine kunder eller tænker du den går nok og mine kunder er loyale og forsvinder ikke bare sådan lige. Desværre tænker mange virksomheder sådan men det kommer til at koste dem dyrt i fremtiden.
Skrevet af
Rene Nørbjerg
GDPR Rådgiver
GDPR løsninger
- Total hjemmeside løsning
- Total virksomhedsløsning
Dine kunder stiller krav til dig, lever du op til GDPR krav?
Jeg har hørt om kunder, der bruger det aktivt overfor kunder, derudover er det kun et spørgsmål om tid før flere virksomheder indarbejder i deres krav ved tilbud, at du skal have styr på din GDPR/ EU-Persondata. Oversigt over hvad der skal være styr på, inden Datatilsynet kommer på besøg. Når Datatilsynet kommer på besøg, uanset om det er anmeldt som et “planlagt tilsyn”; eller det er et uanmeldt besøg, kaldet “Ad hoc tilsyn”.
Ja, så er det vigtigt, at medarbejderne lige fra receptionen til nyeste ansatte ved hvad de skal gøre og ikke mindst svare, når Datatilsynet melder sig i receptionen og begynder at stille spørgsmål. Det kunne som min. være følgende 8 områder, der løbende er tænkt over, og dermed er på plads inden besøget. Der er i denne tekst ligeledes eksemplar på nogle af de spørgeskemaer, som Datatilsynet indtil videre har anvendt.
Typisk er det jo nemmere at forebygge og dermed være klar til besøget, fremfor at være på hælene fra der bliver sagt: ”Goddag vi er fra Datatilsynet, (incl. fremvisning af legitimation), vi vil gerne gennemføre et ad hoc besøg hos jer for at se jeres GDPR-dokumenter samt processer”.
Punkt 1 i din GDPR tjekliste
Hvem skal kontaktes og være den gennemgående person, der hjælper Datatilsynet med, at få svar på deres spørgsmål.? Hvis I har en DPO (Data Protection Officer) skal denne person altid adviseres om besøget.
Punkt 2 i din tjekliste
Hvor kan Datatilsynet sidde, uforstyrret mens de er på besøg i virksomheden?
- Datatilsynet skal have et lokale, hvor de kan udføre deres arbejde, incl. møder.
Punkt 3 i din tjekliste
Hvilken information skal sendes ud til alle medarbejdere i virksomheden, samt hvornår i forhold til besøget? Tekst kan med fordel udarbejdes inden besøget.
- Der skal informeres om formål med besøget om det er varslet, hvem der skal interviews og ikke mindst hvem den enkelte medarbejder skal kontakte ved spørgsmål.
Punkt 5 i din tjekliste
Hvordan er processen for oprettelser og ophør af rettigheder for medarbejders adgang til IT-systemer, adgangskort, VPN, mobiltelefoner og lign. som kan hente virksomhedens data fra eller svare kunderne på sociale medier som repræsentant for virksomheden.
Punkt 6 i din tjekliste
Log fil eller lign. der viser processen over hvad I som virksomhed gør fra I opdager et databrud til det eventuelt er anmeldt til Datatilsynet. Denne log skal ligeledes indeholde en oversigt over hvor mange gange I har opdaget et databrud samt hvad, der har forsaget dette samt hvad I har gjort for at forebygge dette, f.eks. hvordan processen er rettet til, hvilken efteruddannelse af medarbejdere, der er gennemført eller lign.
Punkt 7 i din tjekliste
Hvordan er jeres e-mails krypteret og hvordan sender I følsomme oplysninger? f.eks. dokumenter indeholdende CPR-numre (ansættelseskontrakter eller opsigelser) vil være umiddelbart også have en stor interesse for Datatilsynet at få kendskab til, altså hvordan I helt præcist gør det.
Punkt 8 i din tjekliste
Fremvisning af plan for opfølgning på ovenstående punkter, gerne i et samlet årshjul, hvor der kan ses hvem der er ansvarlige for hvilke aktiviteter og hvornår på året, de forskellige opfølgningsaktiviteter er planlagt til at blive gennemført.
- Bilag 9 Skabelon for årshjul (med som bilag)
Punkt 9 i din tjekliste
Når I har været ovenstående punkter igennem og har fået gjort materialet klar. Så vil det være en rigtig god idé at gennemføre en test for at se om alle der har en opgave eller ansvar i forbindelse med et besøg af Datatilsynet ved hvad de skal gøre.
* Hvad skal du have styr på i forhold til persondataforordningen?
Nedenstående er den korte liste over hvad du som minimum, dokumentationsmæssigt skal have styr på i forbindelse med GDPR / EU-Persondataloven.
- Kortlægning af systemer, arkiver:
- Hvilke it-systemer og fysiske arkiver anvendes i virksomheden
- Personkategorier (kunder, ansatte, leverandører)
- Persondatatyper (almindelige, fortrolige, følsomme)
- Beskrive formålene med behandling af persondata
- Angive hjemmel for behandling af persondata (samtykke, aftale, lovgivning mv.)
- Hvilke interne brugere/brugergrupper har adgang til data
- Hvilke evt. eksterne modtagere deles data med (databehandler, skat, kommune, feriekonto, bank, pension mv.
- Kortlægning af systemer, arkiver:
- Angive en slettepolitik for alle persondata (hvornår slettes data)
- Databehandleraftaler skal udarbejdes og gemmes (som dataansvarlig og evt. som databehandler)
- Medarbejderinstruks – dette dækker området organisatoriske sikkerhedsforanstaltninger (awareness til medarbejdere)
- Oplysningspligt (privatlivspolitik) til kunder, ansatte, ansøgere, hjemmeside mv.
- Sikkerhedsbeskrivelse – vedr. de tekniske sikkerhedsforanstaltninger
- Cookiepolitik på hjemmesiden
- Risiko- og konsekvensvurdering
- Oprettelse af kontroller til sikring af opdateret dokumentation
- udarbejdelse af samtykke til anvendelse hvor det er krævet
- Hændelser, håndtering samt dokumentering af de sikkerhedsbrud, der måtte være opstået samt anmeldt
- Udarbejde den lovpligtige interne fortegnelse over behandlingsaktiviteter
Afrunding og lidt om GDPR-Regler.dk
Tak for at du læste GDPR Tjekliste.
Står du nu tilbage med et spørgsmål eller to vedr. GDPR / EU-Persondataloven eller et spørgsmål vedr. procesoptimering, skal du være meget velkommen til at kontakte mig for en nærmere dialog til løsning af dine udfordringer.
Til sidst vil jeg da gerne høre hvad du efter du har læst denne artikel samt tjeklisten tænker i forhold til egen virksomhed. Er du klar til et besøg af Datatilsynet eller mangler der lidt endnu.?
Samarbejde med GDPR-Regler.dk
Når du indgår et samarbejde med mig, så kan du være sikker på at få en projektleder og sparringspartner, som er målrettet, planlægningsorienteret og fokuseret på implementering af den enkelte opgave.
For mig er det en selvfølgelig at en aftale overholdes, også vedr. overholdelse af aftaler på økonomi og kvalitets-områderne.