Indtast din registrerede e-mail:
Indtast ny adgangskode:

COMPLIANCESTRATEGIER

​​Der er mange ting, en virksomhed skal overveje, når den gennemfører sin plan for efterlevelse af forordningen. Det kan være ressourcekrævende at gennemføre, og det kræver, at man har den fornødne viden. I dette nyhedsbrev gennemgår vi, hvad man skal være opmærksom på, når man implementerer forordningen i sin virksomhed.


PERSONALE
For at efterleve forordningens regler, skal din virksomhed have personale, der kan varetage denne opgave. I større organisationer kan dette være en decideret DPO, Data Protection Officer (databeskyttelsesrådgiver). For mindre virksomheder vil dette være for byrdefuldt. Et alternativ er derfor at have en HR-medarbejder eller lignende til at sætte sig ind i de persondataretlige regler, bl.a. gennem uddannelse og adgang til litteratur om emnet.

Dine andre ansatte skal instrueres i de persondataretlige regler i det omfang, det er relevant for vedkommende. Dine ansatte skal vide, hvem der er ansvarlig for persondataret i din virksomhed, så de kan henvise til personen ved tvivlsspørgsmål og eventuelle henvendelser fra en registreret. Det kan være en god ide at udarbejde et internt regelsæt for behandling af personoplysninger, som de relevante ansatte er instrueret i.

DOKUMENTATION

Persondataforordningen stiller strenge krav til virksomhedens dokumentation af efterlevelse af reglerne. Det er ikke nok, at du lever op til forordningens regler – din virksomhed skal også kunne dokumentere det. Kan efterlevelsen ikke dokumenteres, må det lægges til grund, at efterlevelsen ikke er sket.

DOKUMENTATION AF OVERHOLDELSE AF DE GRUNDLÆGGENDE PRINCIPPER

Virksomheden kunne dokumentere overholdelse af behandlingsprincipperne i forordningen. Dette kan fx opfyldes ved at:

  • Udarbejde et implementeringsdokument, der beskriver strategien for implementeringen af persondatabeskyttelse i organisationen
  • Have beviser på instruktion og uddannelse af ansatte i persondatabeskyttelse
  • Anskaffe en certificering eller henvise til en databehandlers certificering
  • Have en databehandleraftale (som er et selvstændigt krav i forordningen)
  • Udarbejde en policy for persondatabehandling, herunder regler for behandling af oplysninger og varetagelse af de registreredes rettigheder
  • Eventuel tiltrædelse af et adfærdskodeks udarbejdet af en brancheforening
  • Udarbejde en policy for it-sikkerhed, herunder risikovurderinger og konsekvensanalyser
  • Offentliggøre en privacy policy på virksomhedens hjemmeside

Derudover er der den løbende og konkrete dokumentation, som opfyldes ved at sikre beviser for det skete. Dette kan opfyldes ved at gemme eller udfærdige:

  • Digital kommunikation med en databehandler i forhold til at bevise at der føres tilsyn
  • Kopi af orientering af den registrerede og Datatilsynet om sikkerhedsbrud
  • Digital kommunikation med den registrerede, hvis han har henvendt sig til din organisation med spørgsmål eller betragtninger om persondatabeskyttelse
  • Samtykkeerklæring fra den registrerede, hvis dette bruges som behandlingsgrundlag
  • En årlig it-sikkerhedsrapport
  • Logning af dine ansattes computerbrug

DOKUMENTATIONSKRAV I FORM AF EN FORTEGNELSE

Persondataforordningen stiller krav om, at virksomheder med mere end 250 ansatte udarbejder en fortegnelse over alle behandlingerne, virksomheden udfører. Kravet gælder også for alle andre virksomheder ved behandlinger, hvor der indgår følsomme oplysninger, samt for alle virksomhedens behandlinger, der ikke er lejlighedsvise, selv hvis der kun indgår almindelige personoplysninger. 

Det kan desuden være en god strategi at lave fortegnelsen for at gøre det nemmere at leve op til orienteringspligten, pligten til at lave en risikovurdering, og den omvendte bevisbyrde i erstatningssager. Fortegnelsen skal fungere som et katalog over alle organisationens persondatabehandlinger. Ifølge forordningen skal den dataansvarliges fortegnelse indeholde:

  • Navn og kontaktoplysninger på den dataansvarlige, databehandleren (hvis en databehandler har medvirket til behandlingen), den dataansvarliges repræsentant (relevant for dataansvarlige uden for EU) og en databeskyttelsesrådgiver (se emne 10).
  • Formålene med behandlingen
  • Beskrivelse af kategorien af registrerede og kategorien af personoplysninger
  • Kategorien af modtagere, som oplysninger kan blive sendt videre til
  • Beskrivelse af, i hvilket omfang der vil blive overført oplysninger til lande uden for EU
  • De forventede tidsfrister for sletning af de forskellige kategorier af oplysninger
  • En beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger

Databehandlere skal ligeledes lave en fortegnelse, men den skal se lidt anderledes ud. Den skal indeholde følgende:

  • Navn på databehandleren, evt. underdatabehandlere og den dataansvarlige
  • Kategorien af behandlingerne
  • Evt. dataoverførsler til lande uden for EU
  • En generel beskrivelse af sikkerheden

Fortegnelsen skal foreligge for hver enkelt dataansvarlig, virksomheden er databehandler for. Fortegnelsen skal altså hele tiden holdes ajour, hver gang virksomheden bliver antaget af en ny dataansvarlig.

Udover at det kan være et krav, at der foreligger en fortegnelse, kan virksomheden lige så godt udnytte muligheden og bruge fortegnelsen som et værktøj for at få overblik over sine behandlinger. 

Er det nødvendigt at indsamle alle de oplysninger, virksomheden indsamler i dag? Er oplysningerne opbevaret tilstrækkeligt sikkert? Hvem i virksomheden har adgang til oplysningerne? Skal man måske begrænse, hvem der har adgang? Og hvilken procedure kan man indføre for at sikre sig, at oplysningerne bliver slettet igen på et tidspunkt? Alle disse spørgsmål er det nemmere at tage stilling til, hvis man har en overskuelig fortegnelse.

INTERNT REGELSÆT

Der er ikke noget krav om at have et internt regelsæt, der skal regulere behandlingen af personoplysninger. I forhold til dokumentation er det dog ofte nødvendigt at have et sådant regelsæt alligevel. Regelsættet kan indeholde regler om:

  • Sikkerhedsforanstaltninger (fx hvornår oplysninger skal kryptereres)
  • Hvordan skal de ansatte meddele sygdom
  • Kompetenceregler (hvilke ansatte har adgang til hvilke oplysninger, og hvilke ansatte må ikke få adgang til personoplysninger, fx kun HR-ansvarlige og ledelsen skal have adgang til oplysninger om de ansattes helbred
  • ​Procedurer for bestemte scenarier (hvem skal gøre hvad i tilfælde af sikkerhedsbrud eller der kommer en henvendelse fra en registreret)

Der findes ikke et standardregelsæt, der passer på alle virksomheder. Justitsministeriet har udarbejdet sikkerhedsbekendtgørelsen, der fungerer som et standard sikkerhedsregelsæt for offentlige myndigheder, som man kan blive inspireret af.. Man kan også søge inspiration i ISO27000-standarderne. 

LEONI ADVOKATERS SAMARBEJDSPARTNERE

For at klæde dig godt på til de nye regler, har vi hos Leoni Advokater indledt et samarbejde med konsulentvirksomheden eNavigate, konsulentvirksomheden AKON og it-virksomheden netIP.

eNavigates hjemmeside vil vi i en række blogindlæg besvare spørgsmål i den nye persondataforordning, der vedrører digital markedsføring og eCommerce. På bloggen har du også mulighed for at stille os spørgsmål om persondata helt kvit og frit. Find bloggen her.

Implementering af forordningen stiller krav til din virksomheds it. Derfor har vi allieret os med it-virksomheden netIP, der giver gode råd til, hvordan din virksomhed kan indrette sig it-teknisk.​

netIP anbefaler - Godt begyndt, halv fuldendt

En mulig praktisk tilgang til at afdække ”IT-vinklen” i jeres arbejde ift. forordningen, er at I f.eks. parallelt med udarbejdelsen/gennemgangen af dokumentationen og opgaverne, som nævnt tidligere i nyhedsbrevet noterer, hvor I har ”sat strøm” til data-involverende arbejdsgange.


Afdæk evt. også hvor data blot krydser IT, samt lige så vigtigt hvor IT ikke benyttes. Herved har I dannet jer en bruttoliste, på hvilket grundlag I kan prioritere ift. hvilken slags information, der berøres, enten personhenførbare eller –følsomme.

Listen kan efterfølgende være jeres arbejdsdokument. For hvert pkt. kan I dokumentere, hvordan jeres virksomhed sikrer efterlevelse af de grundlæggende principper, navnligt: Lovlighed, rimelighed, gennemsigtighed, formålsbegrænsning, dataminimering, rigtighed, opbevaringsbegrænsning, integritet og fortrolighed.

Finder I steder, hvor I måske ikke helt efterlever alle principperne, vil I have en opgave med enten at foranstalte en organisatorisk sikring, fx i form af en dokumenteret instruks af medarbejdere, der er involveret i givne arbejdsgang/proces, og/eller en IT-sikkerhedspolitik. Eller en opgave med at afklare hvorledes IT kan tilføjes, der tager hånd om manglen, og vurdere dette ift. de økonomiske og eventuelt ressourcemæssige omkostninger til ibrugtagning deraf.

AKON Anbefaler - Forbered medarbejdere med små dryp..
Ordet ”persondataforordning” skal helst ikke være nyt for medarbejderne, når den træder i kraft d 25. maj i år. Optimalt har de hørt den nævnt med jævne mellemrum, lige siden den blev en kendsgerning. En mulighed er via personalemøder og nyhedsmails at informere om, hvor langt man er kommet med forberedelserne, hvilke konsekvenser man forventer, at det vil få for virksomheden, og hvornår og hvordan implementeringen skal foregå.

De små dryp gør os klar. Det betyder, at der bliver skabt nogle kognitive stier i vore hjerner, hvorpå implementeringen kan gå. Nogle eksempler: Så der er noget med, hvordan vi håndter mails? Det er også noget med, hvordan vi genner informationer? Mine børn skal nok ikke længere låne firma-Ipaden til at spille på, når der på den er adgang til mine mails. Nogle af os skal være superbruger og andre af os for sidemandsoplæring osv. For hvert dryp forberedes medarbejderne på det nye.


Alternativet er at fortælle medarbejderne d 24. maj, at fra og med i morgen skal vi arbejde anderledes. Det vil med stor sandsynlighed skabe kaos i hovederne, hvor spørgsmål og frustrationer fremkalder en ufremkommelig jungle for hovedparten af medarbejderne. Derfor dryp…

ØNSKER DU AT VIDE MERE?

Implementering af regler og paragraffer er aldrig i virksomhedens fokus – og sådan skal det også være. Der er ingen, der bliver erhvervsdrivende for at sidde og nusse med regnskaber, fakturaer, persondatabeskyttelse og andre administrative opgaver. Som virksomhedsleder skal du have fokus på det, du brænder for.

Vi er her for at løfte arbejdsbyrden for dig, så du har frie hænder til at lave det, der betyder noget for dig. 

Leoni Advokater har fokus på persondataforordningen, hvis du ønsker at vide mere omkring dette, er du velkommen til at kontakte Bent Bro Miltersen som er Leoni Advokaters ekspert på området.

Nærværende materiale er udarbejdet til undervisningsbrug og kan ikke anvendes i forbindelse med løsning af konkrete problemstillinger. Såfremt du ønsker konkret rådgivning inden for persondataret, opfordres man til at henvende sig til Leoni Advokater med spørgsmål og problemstillinger.

VED SPØRGSMÅL ER DU MEGET VELKOMMEN TIL AT KONTAKTE VORES persondataretsADVOKAT

Leoni Advokater

Sct. Mathias Gade 96B

8800 Viborg

Nørregade 27,1.

7500 Holstebro​​

​Fredrikstadvej 1 

9200 Aalborg SV

  Telefon: 8662 0600

  Fax: 9749 1010

  Mail: post@leoniadvokater.dk

Åbningstider

​Mandag-torsdag: 8-16

Fredag: 8-15

Klientkonto

Jyske Bank 7831-0001181453

Vestjysk Bank 7605-0001392959

​Sparekassen Danmark 9070-1632644651