De 5 største GDPR faldgruber

Datatilsynet har efterhånden været ude med riven nogle gange, og har indtil nu indstillet bøder for 18,1 mill. kr., heraf 4 bøder på over 1 mill. kr. Men hvad skal I være specielt opmærksomme på, hvis I gerne vil undgå at komme i Datatilsynets søgelys?

GDPR handler i bund og grund om at have styr på andre menneskers data. Så viser man ikke vilje eller evne til at passe på de personoplysninger, man ligger inde med, kan hammeren hurtigt falde.

Bøderne kan for helt almindelige virksomheder løbe op i mange millioner kroner, og for de rigtig store virksomheder kan de løbe op i et 3-cifret millionbeløb, da de i yderste fald kan udløse bøder svarende til 4% af virksomhedens globale omsætning.

GDPR som konkurrenceparameter

Risikoen for bøder bør dog aldrig være grunden til at arbejde med GDPR, mener Kim Jensen, CEO & Partner ved Lexoforms. Ifølge ham er GDPR nemlig en god anledning til at få ryddet op i både systemer og data. Samtidig giver det et bedre overblik.

Ifølge Kim Jensen viser deres erfaringer, at hvis man går ind i GDPR-arbejdet med positive briller, ligger der flere markante gevinster. Disse omfatter større overblik, øget effektivitet, styr på uforudsete situationer (som fx ønsker om indsigt) samt mindre risiko for databrud. For nogle virksomheder bliver det ligefrem en konkurrenceparameter. Et signal om, at virksomheden også på dette område optræder organiseret og troværdigt.

Arbejdet med GDPR skal derfor gribes rigtigt an. Her er Kim Jensen især stødt på fem faldgruber, man skal være opmærksom på, hvis man vil overholde reglerne.

Faldgrube #1: Den interne fortegnelse

Persondataforordningen kræver, at alle virksomheder udarbejder en såkaldt intern fortegnelse. Den skal indeholde alle oplysninger, der samlet set giver et overblik over de personoplysninger, som virksomheden opbevarer og behandler. Desuden skal den kunne videregives til Datatilsynet, hvis Datatilsynet ønsker det.

Mange virksomheder har lavet den interne fortegnelse i et regneark, men et regneark er en ”død fil”. Derfor kan det være både uoverskueligt og vanskeligt at opdatere, ikke mindst efter noget tid. Men opdatering af den interne fortegnelse er et lovmæssigt krav til virksomheden. Derfor halter virksomhederne typisk bagefter på dette punkt.

Faldgrube #2: GDPR-opgaven bliver syltet

Mange virksomheder har svært ved at forholde sig til GDPR, fordi reglerne både er komplicerede og tidskrævende. Med rigeligt at se til i forvejen, er det nærliggende at skubbe GDPR-opgaven lidt foran sig til der er bedre tid. Men det tidspunkt kommer aldrig.

Derfor er det vigtigt at få taget fat på opgaven – og ikke mindst holde den ved lige. Risikoen for at få en bøde kan være en stærk motivator for at komme i gang. Men det bør være ambitionen om at behandle andres data med ansvar og respekt, der er den vigtigste driver. Den gode nyhed er, at GDPR-arbejdet for mange faktisk er lettere, end de troede, når de først kommer i gang.

Faldgrube #3: Medarbejderne er ikke klædt på

Som virksomhed har I pligt til – og skal kunne dokumentere – at alle medarbejdere har fået en ordentlig instruktion. Den skal forklare, hvordan de skal behandle de personoplysninger, som de får adgang til.

Men det er ofte svært, fordi det er en uvant opgave. Alligevel er det nok den vigtigste enkeltopgave. Langt hovedparten af de mere end 16.000 anmeldelser til Datatilsynet om sikkerhedsbrud siden 2018, handler nemlig om menneskelige fejl.

Derfor er det afgørende, at alle medarbejdere ved, hvad personoplysninger er, og at disse skal behandles med ansvar og respekt.

Faldgrube #4: Sletning af data

Det er et krav, at personoplysninger ikke må opbevares i længere tid end det, der er nødvendigt til de formål, hvortil de blev indsamlet og behandlet. Når de ikke længere er nødvendige, skal de som udgangspunkt slettes eller anonymiseres, så de ikke længere er tilgængelige.

Men hvis man som virksomhed ikke har et overblik over, hvilke personoplysninger der behandles, og hvor de opbevares, bliver sletning af personoplysninger pludselig en udfordring. Derfor er det vigtigt at få defineret en klar slettepolitik – og løbende føre kontrol med, at den efterleves.

Faldgrube #5: Dårlige undskyldninger

”Vi har ingen følsomme personoplysninger”, ”vi har styr på vores databehandleraftaler” eller ”vi er på btb-markedet, så det er ikke relevant” er alle undskyldninger, vi har hørt mange gange. Men fakta er, at alle virksomheder med blot én ansat eller én kunde behandler personoplysninger.

Derfor er GDPR relevant for alle uanset størrelse, marked og produkter.

Del dette indlæg

Har du spørgsmål?

Har du spørgsmål omkring GDPR, vores løsning eller andet, kan du booke et møde med Martin eller Daniel. Book 15 min., 30 min. eller en time

Har du spørgsmål?

Har du spørgsmål omkring GDPR, vores løsning eller andet, kan du booke et møde med Martin eller Daniel. Book 15 min., 30 min. eller en time

Andre artikler

GDPR

GDPR i sundhedssektoren

Arbejder du i sundhedssektoren, ved du, hvor mange fortrolige og følsomme persondata, der dagligt registreres, gemmes, behandles og sendes. Disse data

Læs mere
GDPR

GDPR i IT-afdelingen

IT-afdelingen er på mange måder helt central for GDPR-indsatsen i de fleste virksomheder. Det er her, persondata opbevares – og det

Læs mere
GDPR

Er din hjemmeside lovlig?

I 2023 analyserede Digitaliseringsstyrelsen 11.000 .dk-hjemmesider og fandt, at både pixels og cookies i vid udstrækning stadig bruges til at spore

Læs mere

Ja tak – send mig jeres nyhedsbrev

Vil du vide mere?

Book et møde , når det passer dig – eller bliv ringet op.