17. marts 2020
GDPR: Konkrete tips til at undgå bøder
For knap to år siden trådte EU’s persondataforordning (General Data Protection Regulation) i kraft, og nu begynder bøderne for alvor at blive uddelt. Dommene er med til at konkretisere GDPR og dermed også de actions, I som virksomhed skal tage for at leve op til forordningen. Det er derfor en god idé at kigge jeres GDPR-indsatser efter i sømmene, og vi giver her nogle gode råd til, hvordan I kan gribe opgaven an.
Vurdér risikoen og tag action
Et godt sted at starte er med en risikovurdering, hvor I ser på hvilke persondata, I har, hvordan de behandles, og hvor stor risikoen er for, at uvedkommende får adgang til dem. Vurderer I, at dataene ikke er tilstrækkeligt beskyttet, er next step en afklaring af hvilke steps, I skal tage for at øge sikkerheden.
Her kan Multi Factor Authentication, der bl.a. dækker over to-trins-godkendelse, være et relevant tiltag. Med to-trins-godkendelse tilføjes nemlig et ekstra trin i login-processen, så der fx både kræves et login på computer og mobil, som vi alle kender det fra NemID app’en. Hos Hesehus er to-trins-godkendelse et step, som vi har valgt at tilføje på en række adgange i huset, som fx login til Windows og VPN, for netop at øge datasikkerheden for vores kunder.
Har I ikke allerede lavet en risikovurdering, eller vil I sætte jeres nuværende vurdering under lup? Så tag et kig på Datatilsynets guide til risikovurderinger på siden her.
Skab overblik over jeres eksterne databehandlere
Som virksomhed har I ofte en række leverandører og tredjepartservices, som enten behandler persondata, som I er ansvarlig for (fx en e-handelsleverandør), eller som giver jer adgang til persondata (fx Facebook). For at I kan sikre en tilstrækkelig datasikkerhed, er det derfor centralt, at I har skabt et overblik over:
- Hvilke eksterne parter I udveksler data med.
- Hvordan dataene overføres, behandles og beskyttes.
- Om dataene overføres til lande uden for EU/EØS - herunder Storbritannien efter den 31. december 2020. Dyk ned i Datatilsynets beskrivelse af Brexits betydning for overførsel af persondata her og få deres råd til, hvordan I bedst forbereder jer.
- Og sidst, men ikke mindst, om der er indgået databehandleraftaler med dem alle, uanset om I er dataansvarlig eller databehandler.
Har I husket de sociale medier?
Virksomhedssider på sociale medier som fx Facebook og de data, der indsamles her, er også omfattet af GDPR. I skal derfor sikre jer, at I har indgået en databehandleraftale med Facebook.
ISAE 3000 – Kvalitetsstemplet for databehandlere
Vidste I, at ligesom jeres kunder fx kigger efter Ø-mærket, Svanemærket eller Fairtrade-mærket, kan I med fordel kigge efter en ISAE 3000-erklæring hos jeres eksterne databehandlere. ISAE 3000 er nemlig en revisorerklæring, der dokumenterer, at en databehandler overholder GDPR på bestemte punkter. I Hesehus vil vi gerne give vores kunder ekstra sikkerhed, og derfor er vi i skrivende stund selv i gang med de afsluttende faser i forbindelse med vores ISAE 3000-erklæring.
Slet dataene på det rigtige tidspunkt
Sidst, men ikke mindst, er det vigtigt, at I har formuleret og implementeret en slettepolitik – det er nemlig et af de områder, hvor der uddeles særligt mange bøder. Det er derfor også en god idé at tænke slettepolitikken ind i selve databehandlingen, så det er lettest muligt for jer i praksis at overholde de slettefrister, som I har fastsat.
Har I brug for inspiration til, hvordan I enten kommer i gang med en slettepolitik, eller hvordan I kvalitetstjekker jeres nuværende politik, kan I med fordel tage et kig på Datatilsynets sletteguide.
Sådan hjælper vi vores kunder
Hos Hesehus har vi qua vores arbejde med de krav, som GDPR stiller til os som databehandlere, opbygget et solidt know-how, og derfor hjælper vi naturligvis gerne vores kunder med at udarbejde en analyse af de persondata, som I er i besiddelse af gennem vores løsning. Analysen indeholder følgende:
- Kortlægning af persondata og hvem, der har adgang til dem - herunder også tredjepartsintegrationer.
- Gennemgang af nuværende procedurer for databehandling - herunder sletning, eksport og arkivering af data.
- Review på tekniske og organisatoriske sikringer - herunder fordeling af ansvar i praksis.
Ud fra analysen udarbejder vi en rapport til jer, der indeholder dokumentation af punkterne ovenfor og anbefalinger til de mulige steps, som I kan tage for at øge datasikkerheden yderligere. Vi anbefaler desuden altid, at I på baggrund af rapporten indgår en dialog med jeres egne juridiske rådgivere og sammen med dem laver en endelig vurdering af hvilke konkrete actions, I bør tage.
Har I brug for juridisk rådgivning?
Vidste I, at FDIH tilbyder deres medlemmer gratis juridisk GDPR-rådgivning fra advokater hos Bird & Bird? Bliv meget klogere på, hvad det indebærer lige her.
Er I kunde hos Hesehus?
Og ønsker I at få udarbejdet en analyse af de persondata, som I er i besiddelse af gennem vores e-handelsløsning?
Så giv vores Head of Customer Relations, Casper Bo Jørgensen, et kald på tlf.: 23 30 79 56 eller skriv til cbj@hesehus.dk
Flere nyheder