GDPR Tjekliste

Tjekliste til hvad I som virksomhed skal have styr på inden I får besøg af Datatilsynet. Samtidig er det et godt input til jeres salgs- og markeringsførings kampagne at kunne fortælle de kunder, der spørger til GDPR, at det har I styr på.

Artiklen er skrevet af Rene Nørbjerg den 3 Januar 2022

GDPR Tjekliste til din virksomhed

Dine kunder stiller større og større krav til dig som virksomhed. Har du styr på din GDPR og sikre du dine kunder eller tænker du den går nok og mine kunder er loyale og forsvinder ikke bare sådan lige. Desværre tænker mange virksomheder sådan men det kommer til at koste dem dyrt i fremtiden.

Dine kunder stiller krav til dig, lever du op til GDPR krav?

Jeg har hørt om kunder, der bruger det aktivt overfor kunder, derudover er det kun et spørgsmål om tid før flere virksomheder indarbejder i deres krav ved tilbud, at du skal have styr på din GDPR/ EU-Persondata. Oversigt over hvad der skal være styr på, inden Datatilsynet kommer på besøg. Når Datatilsynet kommer på besøg, uanset om det er anmeldt som et “planlagt tilsyn”; eller det er et uanmeldt besøg, kaldet “Ad hoc tilsyn”.

Ja, så er det vigtigt, at medarbejderne lige fra receptionen til nyeste ansatte ved hvad de skal gøre og ikke mindst svare, når Datatilsynet melder sig i receptionen og begynder at stille spørgsmål. Det kunne som min. være følgende 8 områder, der løbende er tænkt over, og dermed er på plads inden besøget. Der er i denne tekst ligeledes eksemplar på nogle af de spørgeskemaer, som Datatilsynet indtil videre har anvendt.

Typisk er det jo nemmere at forebygge og dermed være klar til besøget, fremfor at være på hælene fra der bliver sagt: ”Goddag vi er fra Datatilsynet, (incl. fremvisning af legitimation), vi vil gerne gennemføre et ad hoc besøg hos jer for at se jeres GDPR-dokumenter samt processer”.

Punkt 1 i din GDPR tjekliste

Hvem skal kontaktes og være den gennemgående person, der hjælper Datatilsynet med, at få svar på deres spørgsmål.? Hvis I har en DPO (Data Protection Officer) skal denne person altid adviseres om besøget.

  1. a) Bilag 1- oplysningsskema-private-virksomheder-dpo-tilsyn
  2. b) Bilag 2- oplysningsskema-offentlige-myndigheder-dpo-tilsyn

Punkt 2 i din tjekliste

Hvor kan Datatilsynet sidde, uforstyrret mens de er på besøg i virksomheden?

  1. a) Datatilsynet skal have et lokale, hvor de kan udføre deres arbejde, incl. møder.

Punkt 3 i din tjekliste

Hvilken information skal sendes ud til alle medarbejdere i virksomheden, samt hvornår i forhold til besøget? Tekst kan med fordel udarbejdes inden besøget.

  1. a) Der skal informeres om formål med besøget om det er varslet, hvem der skal interviews og ikke mindst hvem den enkelte medarbejder skal kontakte ved spørgsmål.

Punkt 4 i din tjekliste

Hvor findes virksomhedens materiale vedr. GDPR / EU- Persondataloven. *. Herunder med hvilken hjemmel indsamler I disse oplysninger for alle IT-systemer og manuelle processer, f.eks. ansøgninger, der printes og anvendes til samtaler med kandidater.

Bilag 3 – https://www.datatilsynet.dk/media/7833/spoergsmaal-vedr-sletning-af-oplysninger-fra-rekrutteringsforloeb.pdf

Bilag 4 – Spørgeskema-sletning

Bilag 5 – spørgeskema-retshåndhævelse

Punkt 5 i din tjekliste

Hvordan er processen for oprettelser og ophør af rettigheder for medarbejders adgang til IT-systemer, adgangskort, VPN, mobiltelefoner og lign. som kan hente virksomhedens data fra eller svare kunderne på sociale medier som repræsentant for virksomheden.

 Bilag 6 – https://www.datatilsynet.dk/media/7820/spoergeskema-vedr-autorisation-af-medarbejdere.pdf

 

Punkt 6 i din tjekliste

Log fil eller lign. der viser processen over hvad I som virksomhed gør fra I opdager et databrud til det eventuelt er anmeldt til Datatilsynet. Denne log skal ligeledes indeholde en oversigt over hvor mange gange I har opdaget et databrud samt hvad, der har forsaget dette samt hvad I har gjort for at forebygge dette, f.eks. hvordan processen er rettet til, hvilken efteruddannelse af medarbejdere, der er gennemført eller lign.

Bilag 7 – https://www.datatilsynet.dk/media/7821/spoergeskema-vedr-brud-paa-persondatasikkerheden-hos-offentlige-myndigheder-og-private-virksomheder.pdf

 

Punkt 7 i din tjekliste

Hvordan er jeres e-mails krypteret og hvordan sender I følsomme oplysninger? f.eks. dokumenter indeholdende CPR-numre (ansættelseskontrakter eller opsigelser) vil være umiddelbart også have en stor interesse for Datatilsynet at få kendskab til, altså hvordan I helt præcist gør det.

Bilag 8 – https://www.datatilsynet.dk/media/7822/spoergeskema-vedr-kryptering.pdf

 

Punkt 8 i din tjekliste

Fremvisning af plan for opfølgning på ovenstående punkter, gerne i et samlet årshjul, hvor der kan ses hvem der er ansvarlige for hvilke aktiviteter og hvornår på året, de forskellige opfølgningsaktiviteter er planlagt til at blive gennemført.

Bilag 9 Skabelon for årshjul (med som bilag)

 

Punkt 9 i din tjekliste

Når I har været ovenstående punkter igennem og har fået gjort materialet klar. Så vil det være en rigtig god idé at gennemføre en test for at se om alle der har en opgave eller ansvar i forbindelse med et besøg af Datatilsynet ved hvad de skal gøre.

* Hvad skal du have styr på i forhold til persondataforordningen?

Nedenstående er den korte liste over hvad du som minimum, dokumentationsmæssigt skal have styr på i forbindelse med GDPR / EU-Persondataloven.

  • Kortlægning af systemer, arkiver:
    • Hvilke it-systemer og fysiske arkiver anvendes i virksomheden
    • Personkategorier (kunder, ansatte, leverandører)
    • Persondatatyper (almindelige, fortrolige, følsomme)
    • Beskrive formålene med behandling af persondata
    • Angive hjemmel for behandling af persondata (samtykke, aftale, lovgivning mv.)
    • Hvilke interne brugere/brugergrupper har adgang til data
    • Hvilke evt. eksterne modtagere deles data med (databehandler, skat, kommune, feriekonto, bank, pension mv.
  • Angive en slettepolitik for alle persondata (hvornår slettes data)
  • Databehandleraftaler skal udarbejdes og gemmes (som dataansvarlig og evt. som databehandler)
  • Medarbejderinstruks – dette dækker området organisatoriske sikkerhedsforanstaltninger (awareness til medarbejdere)
  • Oplysningspligt (privatlivspolitik) til kunder, ansatte, ansøgere, hjemmeside mv.
  • Sikkerhedsbeskrivelse – vedr. de tekniske sikkerhedsforanstaltninger
  • Cookiepolitik på hjemmesiden
  • Risiko- og konsekvensvurdering
  • Oprettelse af kontroller til sikring af opdateret dokumentation
  • udarbejdelse af samtykke til anvendelse hvor det er krævet
  • Hændelser, håndtering samt dokumentering af de sikkerhedsbrud, der måtte være opstået samt anmeldt
  • Udarbejde den lovpligtige interne fortegnelse over behandlingsaktiviteter

Afrunding og lidt om GDPR-Regler.dk

Tak for at du læste GDPR Tjekliste.

Står du nu tilbage med et spørgsmål eller to vedr. GDPR / EU-Persondataloven eller et spørgsmål vedr. procesoptimering, skal du være meget velkommen til at kontakte mig for en nærmere dialog til løsning af dine udfordringer.

Til sidst vil jeg da gerne høre hvad du efter du har læst denne artikel samt tjeklisten tænker i forhold til egen virksomhed. Er du klar til et besøg af Datatilsynet eller mangler der lidt endnu.?

Samarbejde med GDPR-Regler.dk

Når du indgår et samarbejde med mig, så kan du være sikker på at få en projektleder og sparringspartner, som er målrettet, planlægningsorienteret og fokuseret på implementering af den enkelte opgave.

For mig er det en selvfølgelig at en aftale overholdes, også vedr. overholdelse af aftaler på økonomi og kvalitets-områderne.

GDPR Tjekliste