GDPR-regler: Det du har brug for at vide

GDPR-regler: Det du har brug for at vide

Bare navnet GDPR – eller den lange udgave persondataforordning – får en til at opgive på forhånd, inden man overhovedet er begyndt at sætte sig ind i det. Desværre er det et nødvendigt onde at forholde sig til i dag, hvis man – i værste fald – vil undgå bøder eller et blakket ry hos ens kunder.

Heldigvis behøver GDPR slet ikke være så komplekst, som alle gør det til. Du skal bare have nogle simple begreber og krav på plads om at håndtere og dokumentere oplysninger på andre end dig selv – og så er den fis slået. Eller næsten i hvert fald.

Lad os få styr på begreberne

Først og fremmest skal vi have én ting på det rene. Når vi taler om GDPR, sidestiller folk det ofte med personfølsomme oplysninger, hvor alt fra CVR-nummer til adresse, telefon og etnisk oprindelse er inkluderet. Det begreb er ikke korrekt at bruge, for i teorien er det kun oplysninger om f.eks. race og etnisk oprindelse, politisk overbevisning og seksuelle forhold eller orientering, der hører under de personfølsomme oplysninger. Derfor er personoplysninger eller personhenførbare oplysninger de korrekte termer at bruge, når vi snakker GDPR generelt. Altså når det er muligt at identificere – føre hen til – personer ud fra specifikke oplysninger.

Udover dem vi allerede har nævnt, så involverer det oplysninger som registreringsnumre, billeder, fingeraftryk, lægejournaler, familieforhold, bolig, navn – og en masse andre ting. Der skal med andre ord ikke meget til, før det kan kategoriseres som personhenførbare oplysninger.

Læs mere på Datatilsynets hjemmeside om, hvad personoplysninger er for en størrelse.

GDPR-regler du skal forholde dig til

GDPR-regler du skal forholde dig til

Hvad skal du tænke på som virksomhed i forhold til GDPR-reglerne? I bund og grund skal du beskytte de oplysninger, du har på kunder, samarbejdspartnere, leverandører, medarbejdere osv., som var de din lille baby. Med andre ord, er det dit ansvar, at de oplysninger du har på folk, lever op til databeskyttelsesforordningen – endnu et langt ord, der er umuligt at huske. Og hvad indebærer det så?

Helt simpelt fortalt er det dit ansvar, at:

  • Spørge om lov før du behandler oplysninger på folk
  • Holde styr på den data, du behandler
  • Fortælle og oplyse folk om alle de oplysninger du har på dem, hvis de ønsker det
  • Fortælle Datatilsynet hvis der er brud på sikkerheden inden for 72 timer
  • Få det på skrift, hvis andre behandler personoplysninger på dine vegne
  • Kunne dokumentere over for Datatilsynet, at du har styr på databeskyttelsen og er lovlydig – herunder ”tekniske og organisatoriske foranstaltninger”

Det lidt længere og mere komplicerede svar finder du hos Datatilsynet her.

Men holdt, vi er ikke færdige. Der er også lige et par principper, du skal overholde som dataansvarlig.

  • Din behandling af data skal være lovlig og gennemsigtig
  • Du skal oplyse folk, hvad du bruger deres oplysninger til og overholde det
  • Begræns databehandlingen ved kun at få den data, du har brug for til at opfylde formålet
  • Registrér alle oplysninger og husk at slette urigtige oplysninger
  • Når det ikke længere er nødvendigt at behandle oplysninger, skal de anonymiseres eller slettes
  • Del ikke ud af fortrolige oplysninger til andre og lad være med at miste eller beskadige dem

Det var da nogenlunde overkommeligt, ikke?

Hvis du vil gå i detaljer, så finder du alt fagsproget om GDPR her.

Virksomheder der har betalt til bødekassen

Størstedelen af de virksomheder, der har været under Datatilsynets lup er virksomheder, der ikke har fundet slettelakken frem. For én ting er at have styr på sine oplysninger. En anden er at huske at slette unødvendige oplysninger som f.eks. oplysninger på gamle kunder, der er listet som femte princip herover.

Ofte er det oplysninger, man lykkeligt har glemt, at man havde, og som gemmer sig i stakken af papirer eller et sted inde i ens CRM-system. Desværre har flere virksomheder måttet finde den store pengepung frem og hoste op til bødekassen. Og det er ikke kun ”slettepolitikken”, der har ramt virksomheder rundt om i verden.

Eksempler på virksomheder, der har måttet betale prisen, er:

Taxaselskabet 4 x 35, der måtte slippe med hele 1,2 mio. kr. for manglende sletning af kundernes oplysninger. Knap 9 mio. personhenførbare taxature, der var blevet gemt uden et formål.

Møbelfirmaet IDdesign måtte punge ud med hele 1,5 mio. kr. – igen på grund af manglende sletning på ca. 385.000 kunder.

British Airways som har fået den hidtil største bøde for GDPR-overtrædelse på hele 1,52 mia. kr. som følge af et hackerangreb sidste år. Her blev kunder ført til en falsk website, hvor de skulle logge ind og aflevere kreditkortoplysninger og oplysninger om bookede rejser.

Google i Frankrig fik en bøde på godt 370 mio. kr. af de franske datamyndigheder for at overtræde ansvar og principper om gennemsigtighed, information og samtykke.

Som du kan se, er det ikke så sjovt, hvis man ikke overholder GDPR-reglerne. Vidste du, at GDPR-lovgivningen giver myndigheder som Datatilsynet ret til at idømme en overtrædende virksomhed en bøde på 150 mio. kr. eller op til 4% af en virksomheds årlige omsætning?

GDPR-regler og personfølsomme oplysninger

Kan det ske for dig?

Og nu tænker du sikkert: ”Jamen, det er jo kun de store fisk, der oplever den form for bøder. Hvordan skulle Datatilsynet overhovedet kunne finde frem til min lille virksomhed?”. Tanken er meget normal, men også farlig, hvis du tror, at du er undtaget Datatilsynets besøgsliste. Årsagen til, at de kommer på besøg, er nemlig oftest, når en kunde, borger eller lignende sladrer om din virksomhed til de store stygge myndigheder.

Faktisk er over halvdelen af GDPR-tilsyn i Europa – ud af 281.088 sager – opstået på baggrund af en klage fra en borger. Så hvis der er nogen, der har et horn i siden på dig eller føler, at deres oplysninger ikke bliver håndteret korrekt, er de ikke bange for at gribe til værks. Og set i lyset af sager som den for nylige Facebook-skandale med Cambridge Analytica og misbrug af personlige oplysninger, kan man egentlig ikke bebrejde folk.

Teknikken skal spille

Under de førnævnte ”passende tekniske og organisatoriske foranstaltninger” handler det især om at sikre sig mod brud på sikkerheden og beskyttelsen af personoplysninger. Her skriver Datatilsynet, at ”For at nå i mål med beskyttelsen af personoplysninger kræves en professionel, struktureret og systematisk tilgang til opgaven, og især i store og mellemstore organisationer, kræver det endvidere ledelsens fokus og opbakning”.

Heldigvis har vi hos Lexoforms et GDPR-værktøj til håndtering af data, der gør det nemt at gå til GDPR på en professionel, struktureret og systematisk måde. Herudover er nøgleordet ”overskueligt”, for i vores optik behøver GDPR slet ikke være så besværligt. Du kan faktisk få system i det på kun et par dage.

Læs selv, hvad Martin Elvind Rasmussen fra nem-HR fortæller om brugen af Lexoforms værktøj.

Du kan også læse mere om Lexoforms og priser her.

0 replies

Skriv en kommentar

Want to join the discussion?
Feel free to contribute!

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.