Din GDPR tjekliste
- få styr på GDPR
Den 25. maj 2018 trådte den nye lov om hvordan virksomheder skal behandle persondata, General Data Protection Regulation (GDPR), eller Databeskyttelsesforordningen, i kraft. Her får du vores tjekliste med de 6 vigtigste punkter, der hjælper jer med at komme godt i gang med GDPR. Tjeklisten kan også give jer et billede af, hvor langt I er nået i processen.
Hvis I allerede er kommet godt i gang med jeres GDPR-arbejde, vil vi anbefale dig at hente vores guide 5 gode GDPR-vaner. Her får du konkrete tips til, hvordan I kan skabe og vedligeholde gode vaner, der sikrer at jeres virksomhed altid lever op til GDPR-lovgivningen. Hvis I derimod har en ny virksomhed, som skal i gang med at blive klar til GDPR, eller har brug for at få genopfrisket jeres GDPR-viden, så læs med her. Og se, hvor mange punkter, du kan sætte hak ved på vores GDPR-tjekliste.
Her er i hvert fald vores bud på, hvordan I kan organisere opgaverne:
Kom i gang: Udvælg en ansvarlig person og opsøg viden
Vælg en person, som er ansvarlig for at tilpasse virksomheden til GDPR. Vedkommende skal opsøge viden om loven og de krav, der stilles til jeres virksomhed. Her er 4 gode steder at starte:
> Datatilsynet er tilsynsmyndighed på området og har udgivet flere vejledninger om GDPR.
> Der er lavet en god infografik om baggrunden for denne lovgivning fra EU.
> Der er også god viden at hente hos Erhvervsstyrelsen.
> Se ellers vores egen side om GDPR i e-conomic.
Under læsningen er det en god idé at tage noter om, hvordan loven påvirker processerne i jeres virksomhed. Det gør nemlig den næste opgave, kortlægningen, nemmere at gå i gang med.
Lav også en liste over de underleverandører, som I har brug for at lave en databehandleraftale med.
Kortlægning: Find alle jeres persondata
Al behandling af personlige oplysninger er reguleret af GDPR. Derfor er det vigtigt, at I overvejer:
> Hvilke persondata har vi?
> Hvad gør vi med dem?
> Hvilken lovlig ret har vi til at behandle disse data?
> Hvad er formålet med behandlingen?
> Hvem har adgang til de persondata, vi behandler?
> Hvornår bliver disse persondata slettet igen?
Dette er en vigtig opgave, som ligger til grund for meget af det efterfølgende GDPR-arbejde, I skal igennem.
Tegn gerne et kort over de forskellige processer, I har i virksomheden. Formålet er, at I får styr på, hvor persondataene kommer ind i jeres virksomhed, og hvordan de bliver ført rundt i jeres systemer. Måske deler I persondata med andre? Hvis I anvender ekstern hosting eller cloud-baserede tjenester og behandler personoplysningerne der, så er de faktisk landet uden for jeres virksomhed, og så deler I data med andre, og det skal der tages højde for.
Sørg for, at den person, der er ansvarlig for jeres databehandleraftaler med underleverandørerne, får indblik i alle jeres leverandører under denne kortlægning. e-conomic er et eksempel på en cloud-baseret tjeneste, hvor I måske opbevarer persondata. Hvis I er kunder hos os, kan I læse, hvordan vi forpligter os til at behandle jeres persondata i vores DPA (databehandleraftale).
Et godt tip er at teste jeres fremskridt med Privacykompasset.
Policy: Beskriv hvad I vil gøre og hvordan
I har brug for en privatlivspolitik. Eller måske to? En ekstern, som henvender sig til kunder og omverdenen, og en intern, som medarbejderne i jeres virksomhed kan forholde sig til. Det er ikke så kedeligt, som det lyder, eftersom I kan beskrive i almindeligt talesprog, hvad I gør med de personoplysninger, I har, hvordan I beskytter dem, og hvem kunderne kan henvende sig til, hvis de har spørgsmål. Kort sagt: Skriv det på en måde, så folk forstår, hvad I mener.
Efter kortlægningen ved I jo allerede lidt om, hvordan I gør. Søg på nettet, og se hvordan andre har gjort det. Hvis der findes særlige krav i jeres branche, kan I se, hvordan kolleger og konkurrenter har løst det. Jeres privatlivspolitik skal fungere som et dokument, I kan henvise alle interesserede til, og hvor jeres potentielle kunder kan beslutte, hvorvidt de vil være kunder hos jer. Husk at notere datoen i teksten, og opdater jeres privatlivspolitik senere, hvis der er nye informationer, eller I er blevet klogere på processer eller fx forhold omkring underleverandører.
Oplysning: Gør det så alle forstår
I kortlægningen fandt I alle de steder, hvor I indsamler information. I en webshop, ved telefonbestillinger, i et butikslokale og 100 andre steder. Nu skal vi sikre, at der findes de korrekte informationer, der følger lovens ganske omfattende krav.
I skal blandt andet informere om:
> Hvem I er
> Hvad formålet med persondatabehandlingen er. Det vil sige, hvad I skal bruge personoplysningerne til
> Hvilket retsligt grundlag I har for at behandle persondata i de forskellige sammenhænge
> Hvornår I vil slette persondataene igen
> Hvorvidt I deler persondata med andre, og om det er udenfor EU/EØS (fx Google eller Microsoft)
> Hvilke rettigheder den registrerede har, dvs. den, hvis persondata det gælder
> Og eventuelt det lille ekstra...
> I kan læse mere om oplysningspligten og den registreredes rettigheder i Datatilsynets vejledning.
De steder, hvor I har mulighed for det, skal informationen gives før de personlige oplysninger indsamles. Hvis det ikke er muligt, skal det gøres hurtigst muligt herefter og senest ved første efterfølgende kontakt.
I praksis er det ganske enkelt: Bestiller kunden noget via jeres firmas hjemmeside, skal informationen om, hvordan I behandler kundens persondata findes der. Bestiller kunden i stedet en vare eller ydelse hos jer via telefon, kan I oplyse kunden via ordrebekræftelsen, fakturaen eller leverancen, hvis det giver mening i den sammenhæng. Har I en relativt enkel forretning og en god privatlivspolitik, har I muligvis allerede alt på det rene.
Beskyttelse i praksis: Byg kultur og begynd oprydningen
GDPR er en lov, der skal beskytte dig og mig som individer. Hvis vi synes, at det er besværligt at tilpasse vores virksomhed til de nye regler, så kan det være et tegn på, at vi måske ikke har været gode nok til at beskytte persondata og til at beskytte netop sådan nogen som dig og mig. Vi er altså nødt til at forandre vores tankegang, selvom det er noget af det sværeste, der findes.
Vi må bygge en ny kultur om persondata. Og for at lykkes med det, må vi være bevidste om forandringen og besidde den nødvendige viden. Hvor meget ved dine ansatte om de nye regler? Det er på tide, at den person, der har været ansvarlig for at opsøge viden, deler ud af sine erfaringer. Nu må alle hjælpes ad med at finde de rutiner, som kan forbedres. Hvordan gør I med gamle ringbind, deltagerlister og andre dokumenter, måske i Excel? Findes der kopier af dokumenterne på den enkelte computer i virksomheden? Ligger der mange gamle vedhæftninger i jeres e-mails?
Notér jeres erfaringer fra oprydningsarbejdet og udvikl rutiner for oprydningsarbejdet, som I kan følge fremover, fx kan I planlægge at have oprydningsrutine en gang i kvartalet. Som med enhver oprydning derhjemme, kan det måske ligefrem føles som en lettelse at få renset lidt ud i unødvendige data?
Dokumentation: Indsamling af beviser
Nu nærmer I jer med store skridt et rigtig godt setup. I har selvfølgelig stadig en to-do-liste med udeståender, der skal løses, men nu har I højst sandsynligt et ganske godt billede af jeres behandling af persondata. Hvis I har fulgt trinene i denne tjekliste, har I nu også en hel del dokumentation. I slutspurten er den vigtigste opgaven at organisere al jeres dokumentation, så I kan bevise, at I er i gang med at gå jeres processer igennem. Derudover har jeres to-do-liste også brug for lidt opmærksomhed…
Husk, at det ikke behøver at være et lækkert arkiv, I laver, men blot en oversigt over jeres grundlæggende dokumentation. I har brug for at vise, at I tager GDPR seriøst, og at I har tænkt igennem, hvordan I tilgodeser lovkravene i jeres virksomhed. Husk, at en privatlivspolitik også er en form for dokumentation. Engang imellem er det altså muligt at slå to fluer med ét smæk.
Tænk på, at vi alle er i samme båd, når det gælder GDPR, da den gælder for alle virksomheder, der behandler persondata vedrørende borgere i EU/EØS. I er altså ikke alene :)
Dit samtykke er en del af GDPR
Konceptet "Samtykke" er den del af GDPR-lovgivningen. Samtykke kræves blandt andet hvis du vil modtage e-mails fra virksomheder. Kravet om samtykke skal beskytte dig fra at modtage e-mails, som du ikke ønsker eller finder relevante.
I e-conomic vil vi gerne sende dig e-mails, som forbedrer din oplevelse med dit regnskabsprogram. Du får fx hjælp til moms og årsafslutning i e-conomic, invitationer til relevante events og kurser og muligheden for at prøve nye tillægsmoduler som den første. Der er altså rigtig meget værdi at hente i e-mails fra e-conomic.
Giv dit samtykke