GDPR Virksomheder

Forudsætningen for nedenstående flow er, at virksomheden anvender Lexoforms som GDPR-værktøj. GDPR-Regler.dk er gerne behjælpelig med anskaffelse samt opsætning.

1. Kortlægning af virksomhedens IT-systemer samt fysiske papir arkiver

   • Denne opgave udføres enten fysisk hos virksomheden eller via telefon/ Microsoft Teams
   • GDPR-Regler.dk etablerer alle IT og fysiske papir arkiver i Lexoforms oversigten
     1. Resultat: Der dannes et samlet overblik over hvilke IT-systemer samt fysiske papir arkiver virksomheden anvender. (hvis der senere opdages flere IT-systemer eller fysiske papir arkiver tilføjes de efterfølgende)

2. Databehandleraftaler med virksomhedens leverandører

   • Dette gøres ved, at virksomheden starter med at finde de Databehandleraftaler frem, som de allerede har. De sendes/gives adgang til GDPR-Regler.dk, som kvalitetssikre aftalerne.
   • Øvrige Databehandleraftaler sikre GDPR-Regler.dk bliver fundet frem og underskrevet af såvel leverandører som kunde.
     1. Resultat: Samtlige Databehandleraftaler er udfyldt, underskrevet og lagt ind på Lexoforms platformen.

3. Risikovurdering samt opsætning af kontroller

   • Denne opgave udføres enten fysisk hos virksomheden eller via telefon/ Microsoft Teams
   • Samtlige af virksomhedens IT-systemer samt fysiske papir arkiver bliver gennemgået og risikovurderet.
   • Der sættes samtidig kontroller op, inkl. udførende og deadline for de enkelte IT-systemer samt fysiske arkiver
     1. Resultat: Samtlige IT-systemer samt fysiske papir arkiver er gennemgået. Der er aftalt risikovurdering samt etablereret kontroller for min. samtlige de IT-systemer og fysiske papir arkiver, der er i kategorien ”Rød/ Høj”.

4. Standardtekster etableres udfra Virksomhedens ønsker og behov

   • Denne opgave udføres enten fysisk hos virksomheden eller via telefon/ Microsoft Teams
   • Der kan vælges udfra følgende liste: Medarbejderinstruks, Cookies, Oplysningspligt hjemmeside, Oplysningspligt kunder, Oplysningspligt medarbejdere, Oplysningspligt ansatte, Oplysningspligt jobansøgere, Samtykke, Sikkerhedspolitik, Brud på datasikkerheden.
     1. Resultat: Ovenstående standardtekster er gennemgået med virksomheden, de relevante er gennemgået og justeret til, så de passer til den pågældende virksomhed samt sat i drift. Der er ligeledes aftalt hvilke af standardteksterne, der skal være på dansk samt engelsk.

5. Aftaler som Databehandler (fra virksomheden ud til kunderne)

   • Denne opgave udføres enten fysisk hos virksomheden eller via telefon/ Microsoft Teams
   • Der etableres som udgangspunkt en (1) databehandleraftale/ skabelon, der anvendes til samtlige kunder, der skal indgå en Databehandleraftale med virksomheden.
   • Hvis der er valgt en (1) databehandleraftale/skabelon til samtlige kunder, kan virksomheden præunderskrive inden de sendes ud til kunderne. Dette vil lette arbejdsgange, idet databehandleraftalen, således er indgået når kunden underskriver og returnere Databehandleraftalen.

• Kundeliste udarbejdes af virksomheden i det fremsendte Excel ark, hvor de nødvendige oplysninger lægges ind i de respektive felter. GDPR-Regler.dk sikre derefter import af data i Lexoforms samt udsendelsen til de respektive kunder

• Kunderne rykkes efter en aftalt tidsperiode. Herefter lukkes opgaven af GDPR-Regler.dk.

6. GDPR-dokumenterne er nu udarbejdede og klar til brug

Der er to dokumenter som Datatilsynet spørger efter ved et besøg, det er:

• Intern Fortegnelse (artikel 30 dokumentet) samt Risikorapporten.
  1. Resultat: Der dannes automatisk en Intern fortegnelse, såvel med som uden noter til intern brug. Der kan ligeledes trækkes en oversigt med ”Indsigt”, hvor der på en let og overskuelig måde kan ses hvilke systemer, der er hvilke personhenførbar data i, denne funktion anvendes, når nogen beder om at få indsigt i hvilke data den pågældende virksomhed har om f.eks. en tidligere ansat samt hvornår data slettes.
  2. Resultat: Der dannes ligeledes automatisk en Risikorapport.

7. Implementering af GDPR-dokumenterne i hele organisationen

   • GDPR-Regler.dk hjælper gerne med implementering af de nye dokumenter og sikre at GDPR bliver startet godt op i organisationen.

8. Det efterfølgende GDPR-arbejde (Årshjul)

   • GDPR er en opgave, der løbende skal vedligeholdelse, f.eks. når der ansættes nye medarbejdere samt medarbejdere, der stopper, uanset årsag.
   • Der skal ligeledes gennemføres kontroller udfra de risici, der blev afklaret i pkt. 3. samt et årligt tilsyn af Databehandleraftalerne, som blev oprettet i pkt.2. Derudover er der løbende spørgsmål vedr. GDPR fra kunder og medarbejdere.
   • Dette arbejde udføres gerne af GDPR-Regler.dk, f.eks. med en fast dag om måneden samt svar indenfor 72 timer på tilsendte forespørgsler, når de kommer fra kunder / medarbejdere samt leverandører.