De 5 største GDPR faldgruber

Datatilsynet har efterhånden været ude med riven nogle gange, og har indtil nu indstillet bøder for 18,1 mill. kr., heraf 4 bøder på over 1 mill. kr. Men hvad skal I være specielt opmærksomme på, hvis I gerne vil undgå at komme i Datatilsynets søgelys?

GDPR handler i bund og grund om at have styr på andre menneskers data, og viser man ikke vilje eller evne til at passe på de personoplysninger, man ligger inde med, kan hammeren hurtigt falde.

Bøderne kan for helt almindelige virksomheder løbe op i mange millioner kroner, og for de rigtig store virksomheder kan de løbe op i et 3-cifret millionbeløb, da de i yderste fald kan udløse bøder svarende til 4% af virksomhedens globale omsætning.

GDPR som konkurrenceparameter

Risikoen for bøder bør dog aldrig være grunden til at arbejde med GDPR, mener Kim Jensen, CEO & Partner ved Lexoforms. Ifølge ham er GDPR nemlig en god anledning til at få ryddet op i både systemer og data, og samtidig få bedre overblik.

Ifølge Kim Jensen viser deres erfaringer, at hvis man går ind i GDPR-arbejdet med positive briller, ligger der flere markante gevinster i form af større overblik, øget effektivitet, styr på uforudsete situationer (som fx ønsker om indsigt) samt mindre risiko for databrud. For nogle virksomheder bliver det ligefrem en konkurrenceparameter og et signal om, at virksomheden også på dette område optræder organiseret og troværdigt.

Arbejdet med GDPR skal derfor gribes rigtigt an, og her er Kim Jensen især stødt på fem faldgruber, som I som virksomhed skal være opmærksomme på, hvis I vil overholde reglerne.

Faldgrube #1: Den interne fortegnelse

Persondataforordningen kræver, at alle virksomheder udarbejder en såkaldt intern fortegnelse. Den skal indeholde alle oplysninger, der samlet set giver et overblik over de personoplysninger, som virksomheden opbevarer og behandler – og den skal kunne videregives til Datatilsynet, hvis Datatilsynet ønsker det.

Mange virksomheder har lavet den interne fortegnelse i et regneark, men et regneark er en ”død fil”, som kan være både uoverskueligt og vanskeligt at opdatere, ikke mindst efter noget tid. Men opdatering af den interne fortegnelse er et lovmæssigt krav til virksomheden. Derfor halter virksomhederne typisk bagefter på dette punkt.

Faldgrube #2: GDPR-opgaven bliver syltet

Mange virksomheder har svært ved at forholde sig til GDPR, fordi reglerne er både komplicerede og tidskrævende. Med rigeligt at se til i forvejen, er det nærliggende at skubbe GDPR-opgaven lidt foran sig og gemme den, til der er bedre tid. Men det tidspunkt kommer aldrig.

Derfor er det vigtigt at få taget fat på opgaven – og ikke mindst holde den vedlige. Risikoen for at få en bøde kan være en stærk motivator for at komme i gang, men det bør være ambitionen om at behandle andres data med ansvar og respekt, der er den vigtigste driver. Den gode nyhed er her, at arbejdet med GDPR for mange faktisk er lettere, end de troede, når de først kommer i gang.

Faldgrube #3: Medarbejderne er ikke klædt på

Som virksomhed har I pligt til – og skal kunne dokumentere – at alle medarbejdere har fået en ordentlig instruktion i, hvordan de skal behandle de personoplysninger, som de får adgang til.

Men det er ofte svært, fordi det er en uvant opgave. Alligevel er det nok den vigtigste enkelt-opgave, da langt hovedparten af de mere end 16.000 anmeldelser til Datatilsynet om sikkerhedsbrud siden den 25. maj 2018, handler om menneskelige fejl.

Derfor er det afgørende, at alle medarbejdere ved, hvad personoplysninger er, og at disse skal behandles med ansvar og respekt.

Faldgrube #4: Sletning af data

Det er et krav, at personoplysninger ikke må opbevares i længere tid end det, der er nødvendigt til de formål, hvortil de blev indsamlet og behandlet. Når de ikke længere er nødvendige, skal de som udgangspunkt slettes eller anonymiseres, så de ikke længere er tilgængelige.

Men hvis man som virksomhed ikke har et overblik over, hvilke personoplysninger der behandles, og hvor de opbevares, bliver sletning af personoplysninger pludselig en udfordring. Derfor er det vigtigt at få defineret en klar slettepolitik – og løbende føre kontrol med, at den efterleves.

Faldgrube #5: Dårlige undskyldninger

”Vi har ingen følsomme personoplysninger”, ”vi har styr på vores databehandleraftaler” eller ”vi er på btb-markedet, så det er ikke relevant” er alle undskyldninger, vi har hørt mange gange. Men fakta er, at alle virksomheder med blot én ansat eller én kunde behandler personoplysninger.

Derfor er GDPR relevant for alle uanset størrelse, marked og produkter.

Del dette indlæg

Related Posts

GDPR

Hvad er NIS2?

Der er mange paralleller mellem GDPR, NIS og den nye NIS2. Alle handler de om at tage ansvar, styrke it-sikkerheden og

Læs mere

Hold dig opdateret

Tilmeld dig vores månedlige nyhedsbrev, og bliv opdateret på aktuelle emner indenfor GDPR på forståeligt dansk – og få gode tips og tricks til dit arbejde med GDPR.

MH9230_frit_300x240px

Vil du vide mere?

Book et møde , når det passer dig – eller bliv ringet op.

Ring mig venligst op...