17. marts 2020

GDPR: Konkrete tips til at undgå bøder

For knap to år siden trådte EU’s persondataforordning (General Data Protection Regulation) i kraft, og nu begynder bøderne for alvor at blive uddelt. Dommene er med til at konkretisere GDPR og dermed også de actions, I som virksomhed skal tage for at leve op til forordningen. Det er derfor en god idé at kigge jeres GDPR-indsatser efter i sømmene, og vi giver her nogle gode råd til, hvordan I kan gribe opgaven an.

Vurdér risikoen og tag action

Et godt sted at starte er med en risikovurdering, hvor I ser på hvilke persondata, I har, hvordan de behandles, og hvor stor risikoen er for, at uvedkommende får adgang til dem. Vurderer I, at dataene ikke er tilstrækkeligt beskyttet, er next step en afklaring af hvilke steps, I skal tage for at øge sikkerheden.

Her kan Multi Factor Authentication, der bl.a. dækker over to-trins-godkendelse, være et relevant tiltag. Med to-trins-godkendelse tilføjes nemlig et ekstra trin i login-processen, så der fx både kræves et login på computer og mobil, som vi alle kender det fra NemID app’en. Hos Hesehus er to-trins-godkendelse et step, som vi har valgt at tilføje på en række adgange i huset, som fx login til Windows og VPN, for netop at øge datasikkerheden for vores kunder.

Har I ikke allerede lavet en risikovurdering, eller vil I sætte jeres nuværende vurdering under lup? Så tag et kig på Datatilsynets guide til risikovurderinger på siden her.

Multi Factor authentication, to-trins-godkendelse

Skab overblik over jeres eksterne databehandlere

Som virksomhed har I ofte en række leverandører og tredjepartservices, som enten behandler persondata, som I er ansvarlig for (fx en e-handelsleverandør), eller som giver jer adgang til persondata (fx Facebook). For at I kan sikre en tilstrækkelig datasikkerhed, er det derfor centralt, at I har skabt et overblik over:

  1. Hvilke eksterne parter I udveksler data med.
  2. Hvordan dataene overføres, behandles og beskyttes.
  3. Om dataene overføres til lande uden for EU/EØS - herunder Storbritannien efter den 31. december 2020. Dyk ned i Datatilsynets beskrivelse af Brexits betydning for overførsel af persondata her og få deres råd til, hvordan I bedst forbereder jer.
  4. Og sidst, men ikke mindst, om der er indgået databehandleraftaler med dem alle, uanset om I er dataansvarlig eller databehandler.
Sociale medier

Har I husket de sociale medier?

Virksomhedssider på sociale medier som fx Facebook og de data, der indsamles her, er også omfattet af GDPR. I skal derfor sikre jer, at I har indgået en databehandleraftale med Facebook.

Datatilsynets råd i forbindelse med Facebook her.

Databehandlere

ISAE 3000 – Kvalitetsstemplet for databehandlere

Vidste I, at ligesom jeres kunder fx kigger efter Ø-mærket, Svanemærket eller Fairtrade-mærket, kan I med fordel kigge efter en ISAE 3000-erklæring hos jeres eksterne databehandlere. ISAE 3000 er nemlig en revisorerklæring, der dokumenterer, at en databehandler overholder GDPR på bestemte punkter. I Hesehus vil vi gerne give vores kunder ekstra sikkerhed, og derfor er vi i skrivende stund selv i gang med de afsluttende faser i forbindelse med vores ISAE 3000-erklæring.

Slet dataene på det rigtige tidspunkt

Sidst, men ikke mindst, er det vigtigt, at I har formuleret og implementeret en slettepolitik – det er nemlig et af de områder, hvor der uddeles særligt mange bøder. Det er derfor også en god idé at tænke slettepolitikken ind i selve databehandlingen, så det er lettest muligt for jer i praksis at overholde de slettefrister, som I har fastsat.

Har I brug for inspiration til, hvordan I enten kommer i gang med en slettepolitik, eller hvordan I kvalitetstjekker jeres nuværende politik, kan I med fordel tage et kig på Datatilsynets sletteguide.

Digitale data på pc og tablet


Sådan hjælper vi vores kunder

Hos Hesehus har vi qua vores arbejde med de krav, som GDPR stiller til os som databehandlere, opbygget et solidt know-how, og derfor hjælper vi naturligvis gerne vores kunder med at udarbejde en analyse af de persondata, som I er i besiddelse af gennem vores løsning. Analysen indeholder følgende:

  1. Kortlægning af persondata og hvem, der har adgang til dem - herunder også tredjepartsintegrationer.
  2. Gennemgang af nuværende procedurer for databehandling - herunder sletning, eksport og arkivering af data.
  3. Review på tekniske og organisatoriske sikringer - herunder fordeling af ansvar i praksis.

Ud fra analysen udarbejder vi en rapport til jer, der indeholder dokumentation af punkterne ovenfor og anbefalinger til de mulige steps, som I kan tage for at øge datasikkerheden yderligere. Vi anbefaler desuden altid, at I på baggrund af rapporten indgår en dialog med jeres egne juridiske rådgivere og sammen med dem laver en endelig vurdering af hvilke konkrete actions, I bør tage.

Har I brug for juridisk rådgivning?

Vidste I, at FDIH tilbyder deres medlemmer gratis juridisk GDPR-rådgivning fra advokater hos Bird & Bird? Bliv meget klogere på, hvad det indebærer lige her.

Er I kunde hos Hesehus?

Og ønsker I at få udarbejdet en analyse af de persondata, som I er i besiddelse af gennem vores e-handelsløsning?

Så giv vores Customer Relations Manager, Casper Bo Jørgensen, et kald på tlf.: 23 30 79 56 eller skriv til cbj@hesehus.dk​​​​​​​

Flere nyheder

Få mere nyt fra Hesehus

Hos Hesehus er hverken vi eller vores kunder gået i vinterhi. Derfor udvider vi nu holdet af kompetente hesehusianere og byder to stærke internationale profiler og en analytisk skarp projektleder velkommen​​​​​​​.
Google giver nu deres digitale analyseredskaber en større makeover, og bl.a. skal en ny datamodel sikre en bedre indsigt i forbrugernes rejse på tværs af platforme og kanaler. Men hvilke analytiske muligheder og indsigter giver det jer som e-handlere, og hvordan kan I bruge det strategisk i jeres forretningsudvikling?
Årets Black Week med Black Friday i spidsen slog igen alle rekorder, og det gjorde sig i høj grad også gældende for Hesehus’ kunder med en samlet omsætningsvækst på hele 70%. Få her tre key learnings fra årets største handelsdag online.

Nyhedsbrev

Få serveret alt fra digitale tips og trends til heads-up på relevante seminarer og e-handelskonferencer direkte i din inbox