5. februar 2018

GDPR - den nye persondataforordning

Den 25. maj 2018 træder EU’s nye persondataforordning (General Data Protection Regulation) i kraft. Det nye regulativ lægger stor vægt på dokumentation, og konsekvensen ved ikke at have styr på sine data kan være bøder på op til 4% af jeres årlige omsætning. Vi hjælper jer med at blive klar.

Hvad er GDPR?

I 2016 blev der vedtaget nye regler for behandling af personoplysninger, den såkaldte GDPR (General Data Protection Regulation), som træder i kraft den 25. maj 2018. For danske virksomheder erstatter de nye regler lov om behandling af personoplysninger fra 2001.

I bund og grund er GDPR en modernisering af den gamle lov om behandling af personoplysninger, som ikke længere kan følge med den teknologiske udvikling. Dermed er en del af punkterne i den nye persondataforordning også mere eller mindre uforandret, dog med skærpet opmærksomhed på overholdelse og dermed øget risiko for straf, mens andre punkter dækker over nye tiltag.

Med den øgede risiko for straf og de meget høje bøder pålægges virksomheder at få et totalt overblik og kontrol over deres databehandlings-flow. Mange virksomheder har ikke tidligere vægtet persondatasikkerhed højt, da det ikke er blevet betragtet som særligt forretningskritisk, men med den nye persondataforordning bliver det et konkurrenceparameter at have styr på sine data – et parameter, som vi gerne hjælper jer med at vinde på!

Right to be forgotten

Den største opmærksomhed omkring den nye persondataforordning er på de registreredes ret til at blive glemt. I virkeligheden er retten ikke ny, men den skærpede opmærksomhed i den nye persondataforordning gør, at I som virksomhed skal have helt styr på behandlingen og opbevaringen af jeres data for at kunne leve op til kravet.

For det første skal alle registrerede – i jeres tilfælde oftest jeres kunder – frivilligt, specifikt og utvetydigt have givet samtykke til, at I må behandle deres personoplysninger. Herudover skal de registrerede til hver en tid have mulighed for at få adgang til de personoplysninger, I som virksomhed har på den pågældende, have mulighed for at ændre og få opdateret oplysningerne og til hver en tid have mulighed for at få slettet eller anonymiseret oplysningerne.

For at dette er muligt, er det derfor vigtigt, at I kan dokumentere jeres behandling af persondata, herunder; indsamling, registrering, opbevaring, tilpasning eller ændring, genfinding, brug, videregivelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse. Så det første og største skridt på vejen mod at leve op til den nye dataforordning er, at I kortlægger og dokumenterer hvor, hvordan, hvornår og af hvem, jeres data behandles.

Forordningens 7 principper

Lovlighed, rimelighed og gennemsigtighed
​​​​​​​Der skal gives samtykke og oplysninger om den dataansvarlige og behandling af data skal være tilgængelige

Formålsbegrænsning
​​​​​​​
Der skal være et specifikt formål med indsamlingen af data

Dataminering
Virksomheden indsamler kun data, der er relevante

Rigtighed
​​​​​​​
Data skal opdateres og ajourføres, så oplysningerne altid er korrekte

Opbevaringsbegrænsning
​​​​​​​
Data skal kun opbevares så længe det er nødvendigt

Integritet og fortrolighed
​​​​​​​
Data skal behandles fortroligt og sikkert

Ansvarlighed
​​​​​​​
Det er virksomheden, der er ansvarlig for compliance med principperne, og bevisbyrden ligger hos virksomheden

Tjekliste fra DI Digital

For at hjælpe virksomheder med at få styr på den nye persondataforordning har DI Digital udviklet en tjekliste med spørgsmål, der er relateret til de vigtigste hovedområder. Det er derfor vigtigt, at I kan besvare disse spørgsmål:

1. Er I omfattet af forordningen?

2. Er de informationer, som I ønsker at behandle, omfattet af forordningen; er informationerne at betragte som personoplysninger?

3. Hvilke kategorier af personoplysninger ønsker I at behandle?

4. Hvilke behandlinger ønsker I at foretage?

5. Spiller I en rolle som dataansvarlig eller databehandler i forhold til de konkrete behandlinger?

6. Har I et retligt grundlag til at behandle de ønskede kategorier af personoplysninger?

7. Opfylder I principperne for behandling af oplysningerne?

8. Er behandlingen nødvendig (proportional)?

9. Kan I behandle oplysningerne på en mindre indgribende måde og stadig opnå formålet?

10. Opfylder I de registreredes rettigheder ved behandling af oplysningerne?

11. Opfylder I jeres forpligtelser (herunder vedrørende overførsel og sikkerhed) ved at behandle personoplysninger?

12. Er der særlige forhold, der gør sig gældende, for jeres behandling af personoplysninger?

DI har på www.di.dk/persondata desuden en række konkrete værktøjer til at hjælpe virksomheder med at implementere persondataforordningen og de forskellige punkter i tjeklisten.

Sådan hjælper vi vores kunder

Hos Hesehus hjælper vi selvfølgelig gerne vores kunder med at blive klar til den nye lovgivning ved at udarbejde en analyse af de persondata, I er i besiddelse af gennem vores løsning. Analysen indeholder følgende:

  • kortlægning af persondata og hvem, der har adgang til dem - herunder også tredjepartsintegrationer
  • identificering af områder, der på nuværende tidspunkt ikke lever op til forordningen - herunder samtykke til indsamling af data og sletning, eksport og arkivering af data
  • review på tekniske og organisatoriske sikringer - herunder fordeling af ansvar i praksis

Ud fra analysen udarbejder vi en rapport til jer, der indeholder dokumentation af ovenstående punkter og anbefalinger til nødvendige ændringer, såsom håndtering af brug af tredjepartssoftware, deling af brugeradgang og lignende, så I kan leve op til den nye persondataforordning.

Herudover hjælper vi jer selvfølgelig også med udarbejdelsen af en databehandleraftaler mellem jer og os som leverandør. Databehandleraftalerne har til formål at sikre, at kravene, som I skal leve op til som dataansvarlig, er opfyldt og er gældende for jeres leverandører.

Nedtællingen er startet!

Ny lovgivning kan være en stor mundfuld og ender tit med at blive udskudt, fordi det er tidskrævende at sætte sig ind i det - men der kan være mange penge på spil.

Virksomheder, der ikke opfylder den nye persondataforordning den 25. maj 2018, risikerer nemlig bøder på op til 4 % af den årlige omsætning eller maksimalt EUR 20 mio. Derfor er det vigtigt, at I får overblik over de nye regler, og hvad de betyder for jer.

Giv os et kald så vi sammen kan sikre os, at I er 100% klar, når den nye persondataforordning træder i kraft til maj.

Flere nyheder

Få mere nyt fra Hesehus

Hos Hesehus står 2018 på en masse spændende projekter fra både nye og eksisterende kunder. Derfor starter vi det nye år ud med at hente forstærkning og byder dermed varmt velkommen til tre nye udviklere.
Big data er længe blevet brugt til at målrette indsatsen mod potentielle forbrugere og dermed skabe salg på den korte bane, men jeres data kan meget mere end det. Ved at bruge data til at tilrettelægge forbrugerrejsen for den enkelte kunde i webshoppen, skaber det ekstra værdi for dem.
Siden 2012 er antallet af netbutikker, der deltager i Black Friday, steget markant. Forventningerne til årets Black Friday var høje, men slet ikke urealistiske, da den slog alle rekorder - også blandt Hesehus' kunder.

Nyhedsbrev

Få serveret alt fra digitale tips og trends til heads-up på relevante seminarer og e-handelskonferencer direkte i din inbox