GDPRdok.dk

6 år med GDPR

6 år med GDPR – Status og perspektiver

Den 25. maj markerede en vigtig milepæl i databeskyttelsens verden – det er nu 6 år siden, at General Data Protection Regulation (GDPR) trådte i kraft i hele EU, herunder Danmark. GDPR har haft en betydelig indvirkning på, hvordan virksomheder og organisationer håndterer persondata, og det er værd at reflektere over, hvor langt vi er nået, og hvad vi kan forvente i fremtiden.

Status efter 6 år med GDPR i Danmark

I Danmark har indførelsen af GDPR medført en række positive forandringer. Danske virksomheder og offentlige institutioner har i høj grad taget databeskyttelse til sig som en essentiel del af deres drift. Der er øget fokus på transparens, samtykke og sikkerhed omkring persondata, hvilket måske har bidraget til tilliden mellem borgere og organisationer, samt organisationer i mellem.

Det danske Datatilsyn har spillet en central rolle i denne udvikling. De har været pragmatiske og samarbejdsvillige, hvilket har gjort det lettere for virksomheder at implementere de nødvendige ændringer, enten ved egen kraft eller ved brug af eksterne rådgivere. Datatilsynet har fokuseret på vejledning og rådgivning, hvilket har hjulpet mange organisationer med at forstå og overholde de komplekse regler.

På trods af disse fremskridt er der dog stadig udfordringer. Mange virksomheder kæmper fortsat med at integrere GDPR fuldt ud i deres daglige processer. Det er også min klare fornemmelse, at mange endnu ikke er kommet i gang.

En række højt profilerede databrud har tydeliggjort det vedvarende behov for årvågenhed og løbende forbedringer inden for datasikkerhed. Dog oplever jeg, at frygten for store bøder i højere grad driver virksomhedernes fokus på overholdelse af GDPR.

Fremtidsudsigter og forventninger fra Datatilsynet

Fremadrettet kan vi forvente, at Datatilsynet vil skærpe deres fokus på håndhævelse af GDPR. Selvom den pragmatiske tilgang har været nyttig i implementeringsfasen, er tiden nu inde til at sikre, at reglerne også efterleves konsekvent og effektivt. Dette betyder, at vi sandsynligvis vil se en stigning i antallet af undersøgelser og sanktioner for overtrædelser af databeskyttelseslovgivningen.

Datatilsynet har også udtrykt ønske om at se mere handling fra virksomhedernes side. Det er ikke længere nok blot at have politikker og procedurer på plads; de skal også aktivt anvendes og opdateres i takt med teknologiske fremskridt og ændrede risikobilleder. Dette vil kræve en kontinuerlig indsats og opmærksomhed fra både ledelse og medarbejdere.

Vi kan også forvente, at der vil være en øget opmærksomhed på nye teknologier og deres indvirkning på databeskyttelse. AI, big data og IoT skaber nye udfordringer for GDPR, og det er sandsynligt, at vi vil se nye retningslinjer og tiltag for at tackle disse udfordringer.

Hvorfor vælge GDPRdok som samarbejdspartner

Hvorfor vælge GDPRdok til hjælp med GDRP reglerne?

Vores pragmatiske, ubureaukratiske og effektive tilgang til GDPR 

I en verden, hvor virksomheder står over for en konstant strøm af data og hyppige ændringer i lovgivningen, kan det være en udfordrende opgave at navigere i junglen af GDPR regler og samtidig forfølge forretningsmæssige mål. Vi har fokus på og erfaring i at hjælpe virksomheder med at balancere mellem at opnå deres forretningsmæssige mål og overholde GDPR reglerne. Dette kan også du få udbytte af på vores GDPR kursus samt i vores ad-hoc GDPR rådgivning eller som GDPR projektleder.

Ubureaukratisk og pragmatisk GDPR compliance:

En af de unikke aspekter af vores tilgang er vores pragmatiske tilgang til problemløsning. I stedet for at insistere på en rigid og bureaukratisk tilgang til GDPR compliance, arbejder vi på at finde praktiske løsninger, der er skræddersyet til hver virksomheds unikke behov. Dette gør hele processen mere håndterbar og mindre overvældende.

GDPRdok går imod den traditionelle opfattelse af, at GDPR compliance skal være fyldt med bureaukrati og komplekse procedurer. Vores tilgang er ubureaukratisk, hvilket betyder, at vi forenkler reglerne og kommunikerer dem klart og tydeligt. Dette gør det lettere for virksomheder at forstå og implementere de nødvendige foranstaltninger uden at blive fanget i unødvendig administration.

Forfølg forretningsmæssige mål inden for GDPR reglerne:

Hos GDPRdok forstår vi vigtigheden af, at virksomheder kan forfølge deres forretningsmæssige mål inden for rammerne af GDPR-reglerne. Vores tilgang sigter mod at gøre GDPR-overholdelse til en aktiv støtte for forretningens mål i stedet for en hindring. Dette hjælper virksomheder med at udnytte deres dataressourcer fuldt ud og skabe værdi.

Nemt, Hurtigt og Billigt:

En af de største bekymringer for virksomheder er omkostningerne ved efterlevelse af GDPR reglerne. Hos GDPRdok arbejder vi aktivt på at gøre overholdelse af GDPR reglerne nemt, hurtigt og billigt. Dette betyder, at virksomheder kan opnå GDPR compliance uden at skulle investere store beløb til advokater eller komplekse systemer.

GDPRdok som Enabler:

For at GDPR i praksis skal få fodfæste i en dynamisk virksomhed, er det nødvendigt at finde løsninger, der er pragmatiske, ubureaukratiske, kommunikativt forståelige og som samtidig giver mulighed for at forfølge forretningsmæssige mål. Det er netop dette fokus, der gør GDPRdok til en værdifuld partner for virksomheder i dag.

Det er vigtigt at huske, at GDPR i høj grad er en rammesættende forordning, der giver virksomheder mulighed for at behandle persondata til de formål, de ønsker, så længe det sker inden for reglernes rammer. GDPR behøver ikke at være en byrde, men kan snarere være en enabler for at opnå forretningsmæssig succes.

Så hvorfor vælge en GDPR-løsning fra GDPRdok? Fordi vi forstår, at GDPR ikke behøver at være kompliceret, dyrt eller bureaukratisk. Vi tilbyder en pragmatisk tilgang, der gør det muligt for virksomheder at forfølge deres forretningsmæssige mål inden for GDPR-reglerne, samtidig med at vi forenkler processen og kommunikerer klart og tydeligt.

Lidt fakta om GDPR systemer

LIDT OM GDPR SYSTEMER

Vi har arbejdet med flere forskellige GDPR-systemer for vores kunder. I alle tilfælde er erfaringen, at et GDPR-system bliver et ”projekt i projektet”, der komplicerer opgaven med at overholde GDPR. Hvis man har en kompleks datastruktur i virksomheden med ”mange” forskellige systemer der anvendes af ”mange” afdelinger, eller hvis man har uddelegeret GDPR opgaver til forskellige afdelinger, kan et system give mening. Det er dog ikke tilfældet for langt de fleste SMV’ere.

Uhensigtsmæssighederne ved et GDPR system kan være:

  • At man skal lære at ”tænke” som systemet og sikre at ting bliver lagt rigtigt ind, for at outputtet bliver korrekt
  • At få simple prints af f.eks. en datafortegnelse understøttes ikke eller dårligt
  • Man binder sig til systemet og en abonnementsydelse ”for evigt”
  • Man bliver afhængig af kontinuerlig system-ekspert hjælp, når man glemmer hvorledes systemet er opbygget og skal administreres,- og det gør man, når man kun er aktiv i systemet et par gange årligt
  • Der er ingen eller kun sporadisk hjælp til at sikre GDPR implementering i virksomheden via politikker og procedurer mv,- anvendelse af et system gør ikke virksomheden compliant.
GDPR systemerne tilbyder dog ofte funktioner til at sende reminders på opgaver man skal løse, og nogle gange også nyhedsbreve med nyheder omkring GDPR. Det er dog relativt let at udarbejde en liste med opgaver der skal løses, og ligge det ind i den kalender man i forvejen bruger. Og nyhedsbreve om GDPR kan man få mange steder,- også hos Datatilsynet.
 

GDPRdoks ydelser er bygget op omkring word, excel, sund fornuft og praktisk erfaring. Det er velkendt, enkelt og gratis at forholde sig til kontinuerligt.

Du kan købe en GDPR pakke med vores skabeloner her. Du kan også tilmelde dig et GDPR kursus, hvor du får en vores basis skabelonpakke til værdi af kr. 1.995,- med – helt gratis. Se mere om vores GDPR kursus her.

GDPR-bøder i millionklassen

Datatilsynet viser med al tydelighed, at alle der behandler persondata skal tage GDPR alvorligt. Vi har nu fået en række afgørelser der viser, at lige som i udlandet kan man i Danmark også risikere millionbøder.

Tre virksomheder er lige nu indstillet til millionbøder:

  • Taxaselskabet 4×35 er indstillet til en bøde på 1,2 mio kr. for at opbevare kundernes oplysninger i deres systemer uden saglig grund
  • Iddesign A/S er indstillet til en bøde på 1,5 mio kr., også for manglende sletning af kundeoplysninger
  • Hotelkæden Arp-Hansen er indstillet til en bøde på 1,1 mio kr., af samme årsag som de to ovenstående

I de enkelte sager er det undersøgt, dels om der er procedurer på plads der skal sikre at GDPR overholdes, og dels om, hvorvidt disse procedurer også blev efterlevet i praksis.

Sagerne har understreget vigtigheden i, at virksomheder får nedfældet hvorledes GDPR skal overholdes i praksis, samt at man i virksomheden også sikrer at det sker. Det er ikke nok at have procedurer, politikker og databehandleraftaler liggende i skuffen. Man skal aktivt sikre og føre kontrol med, at data behandles forsvarligt og i overensstemmelse med reglerne og det som står i procedurerne eller databehandler-aftalerne.

Min praktiske erfaring i implementeringen af GDPR i virksomhederne, at det er særligt vanskeligt for virksomheder at få slettet data, der bør slettes. Dels på grund af ressourcer hertil, dels på grund af frygten for at slette noget vigtigt og ind imellem også fordi det ikke er muligt at slette persondata i de systemer som virksomheden anvender. Men ingen af disse forhold godtages af Datatilsynet, og man pådrager virksomheden risiko ved ikke at efterleve reglerne.

Min erfaring er også, at små virksomheder generelt har vanskeligt ved at se værdien af procedurer og politikker, da man måske ikke tidligere har anvendt dette i virksomheden. Men dels er dette jo avancerede huskelister vedr. hvad man skal gøre for at overholde GDPR i forskellige situationer og på forskellige tidspunkter. Og dels er det et lovkrav i GDPR at man kan dokumentere overholdelse af GDPR, og her er procedurer og politikker, der efterleves i praksis, et meget pragmatisk værktøj, – for nu at sige det på jysk.

Ovenstående bøder er i helt i tråd med bøder der er givet i andre EU-lande for brud på reglerne, og det er forventeligt, at Datatilsynet vil fortsætte den lagte linje. 

GDPR / Persondataforordning – sådan har jeg gjort i min virksomhed.

GDPR, Persondataforordning, EU datalov etc… ”kært” barn mange navne….

I denne artikel vil jeg vise dig meget konkret, hvad jeg har gjort for at overholde GDPR, samt hvorledes jeg kan dokumentere dette overfor Datatilsynet, hvis de skulle bede mig herom. I alt tog det mig blot ca. 12 timer on & off over en periode.

Først lidt om min virksomhed: Hillerup Consult Group er en enmandsvirksomhed med to kerneydelser, to hjemmesider på to forskellige domæner. Den ene hedder GetRelated og er en konsulentvirksomhed, der har eksisteret siden 2013, med en hel del kundeforhold og et nyhedsbrev med abonnenter. I GetRelated har jeg blandt andet arbejdet med implementering af GDPR i flere lande.

Den anden ydelse hedder GDPRdok (www.gdprdok.dk) og er en tjenesteydelse, der netop beskæftiger sig med GDPR. I denne virksomhed har jeg, på baggrund af min erfaring fra GetRelated, udviklet et sæt skabeloner til procedurer, politikker mv. der gør arbejdet med GDPR relativt nemt og hurtigt. Dette sæt skabeloner er til salg i min onlineshop.

Qua disse ydelser behandler jeg en del persondata, men ingen følsomme persondata.

For at overholde GDPR har jeg har smagt min egen medicin, og brugt mine skabeloner til min egen GDPR opgave. Jeg håber at dette kan tjene til inspiration til at du og mange flere virksomheder får ro i maven og styr på GDPR.

Den indledende fase – GDPR vejledning og Gab analyse

Ja, jeg skulle jo gennem vejledningen, men sprang direkte til det aktionsprægede afsnit, der netop fokuserer på hvilke handlinger jeg skulle gøre og hvorledes skabelonerne kan anvendes hertil.

Således indledte jeg med en Gab analyse på baggrund af skemaet med samme navn.

En lang række krav opfyldte jeg allerede, og endnu flere var ikke relevante for min virksomhed, så jeg endte med denne liste med udfordringer:

KravOverholdelseNødvendige tilttag
Opbevares personoplysninger kun så længe det er nødvendigt?NejPerioderne skal defineres
Kan vi som Dataansvarlig påvise overensstemmelse med alle principper?NejMangler periode defintioner
Efterkommes de registreredes rettigheder som krævet?NejDer skal laves en procedure som dokumentation
Er der indført procedurer for besvarelse af anmodninger om adgang til personoplysninger samt tilvejebringelse af samme?NejLav procedure til dokumentation
Er oplysninger om internationale overførsler tilgængelige for den registrerede, når det er relevant?NejMailchimp: USA, Stripe USA
Er der indført procedure for at slette personoplysninger uden unødig forsinkelse, når en registreret anmoder herom af legitime grunde?NejSkal fremgå af ovenstående procedure
Er det klart defineret, under hvilke omstændigheder sletningsanmodninger vil blive accepteret eller nægtet?NejSkal fremgå af ovenstående procedure
Er der indført procedure til at modtage, vurdere og overholde indsigelser mod behandling af personoplysninger?NejDer skal udarbejdes procedure
Er der gennemført passende databeskyttelsespolitikker?NejDer skal udarbejdes politikker
Er der indført en procedure der sikrer, at der anmeldes brud på persondatasikkerheden til tilsynsmyndigheden inden for den tidsramme, der er fastsat i GDPR?NejDer udarbejdes procedure
Er der indført procedurer der sikrer, at anmeldelsen af et brud på persondatasikkerheden til tilsynsmyndigheden indeholder alle nødvendige oplysninger?NejDer udarbejdes procedure
Bliver alle brud på persondatasikkerheden dokumenteret?NejDer udarbejdes procedure
Er der indført procedurer til vurdering af, om det er nødvendigt at underrette den registrerede?NejSkal fremgå af proceduren

Nu havde jeg dannet mig et overordnet indryk af mine udfordringer, der handlede om indførsel af korrekte politikker og procedurer, som i sidste ende vil gøre, at mine kunder oplever den korrekte behandling af deres data og rettigheder, at jeg er forberedt hvis jeg skulle få et databrud, samt at jeg kan dokumentere alle mine handlinger og valg overfor Datatilsynet eller andre.

Det konkrete arbejde

Som første led i det konkrete arbejde udarbejdede jeg en liste over alle mine databehandlingsaktiviteter med basis i skabelonen ”Registrering af behandlingsaktiviteter”. Jeg støttede mig til det konkrete eksempel herpå, der også er inkluderet i det sæt jeg har udarbejdet.

Således har jeg dokumenteret alle persondatabehandlinger jeg foretager, og kan vende tilbage hertil og tilføje eller slette, hvis der sker ændringer, samt anvende det overfor Datatilsynet som dokumentation.

Nedenfor ser du et uddrag af listen, idet en lang række andre kolonner ikke kan vises her af pladsmæssige årsager.

ForretningsaktivitetDataposterBeskrivelseSærlig kategori (følsomme persondata)Indhentet fra den registrerede?DataejerFormål med behandlingLovlig behandling
Website salg i GDPRdokKunde navnKundens navn; undertiden forskellig fra navnet på den person, der modtager supportNejJaClaus HillerupSalgsposter og løbende supportOpfyldelse af kontrrakt
Website salg i GDPRdokKunde mailadresseKundens emailadresse, normalt en virksomhedsmail, men ofte en Gmail-eller Hotmail-kontoNejJaClaus HillerupSalgsposter og løbende supportOpfyldelse af kontrrakt
Website salg i GDPRdokKunde telefonnummerTelefonnummer, normalt et virksomhedsnummer, men kan være personligtNejJaClaus HillerupKontaktmulighed hvis mail ikke virkerOpfyldelse af kontrrakt
Website salg i GDPRdokKreditkort oplysningerNummer, udløb og CVC fra kundens kreditkortNejJaClaus HillerupBetaling – oplysninger opbevares ikke af os.Opfyldelse af kontrrakt
Website salg i GDPRdokKunde adresseFysisk adresse, herunder gade, by, postnummer og landNejJaClaus HillerupVerification på kundes korrekthedOpfyldelse af kontrrakt
Salgsopfølgning GDPRdokKunde navn og mailadresseKundens emailadresse, normalt en virksomhedsmail, men ofte en Gmail-eller Hotmail-kontoNejJaClaus HillerupMersalg og marketingMarkedsføringsloven §10 stk 2
Faktura generering og fremsendelse på mailKunde navn og mailadresseAlle kundeinformationer (kreditkort undtaget)NejJaClaus HillerupRegnskabsopfølgning og kvittering til kundeOpfyldelse af kontrakt
Nyhedsbrev fra GetrelatedKunde navn og mailadresseKundens emailadresse, normalt en virksomhedsmail, men ofte en Gmail-eller Hotmail-kontoNejJaClaus HillerupMersalg og marketingSamtykke
Download af vejledning GDPRdokKunde navn og mailadresseKundens emailadresse, normalt en virksomhedsmail, men ofte en Gmail-eller Hotmail-kontoNejJaClaus HillerupLevere vejledning efter anmodning fra kundenLegitim interesse
        

Sideløbende udarbejdede jeg en politik for sletning af data på baggrund af skabelonen ”Politik for opbevaring og sletning af persondata”, hvor jeg fastsatte hvor længe jeg ville beholde f.eks. mails og andre dokumenter med persondata. Disse valg har jeg dokumenteret i det skema som ligger i skabelonen, som følger:

BeskrivelseOpbevaringsperiode og begrundelse herforLagringsmedier

Kunder

Personlige oplysninger, herunder kundernes navne, adresser, ordrehistorik, og bankoplysninger

5 år efter sidste køb

Begrundelse herfor er Regnskabslovens bestemmelser

Elektronisk på Bærbar Mac med sikkerhedskopi i Google drive. Data ligger også i Billys Billing, der anvendes til regnskab.

Leverandører

Personlige oplysninger, herunder Leverandørers navne, adresser, ordrehistorik, og bankoplysninger

5 år efter sidste køb

Begrundelse herfor er Regnskabslovens bestemmelser

Elektronisk på Bærbar Mac med sikkerhedskopi i Google drive

Medarbejdere

Hillerup Consult har ingen medarbejder

  

Kontrakter

juridiske kontrakter, vilkår og betingelser,

5 år efter udløb

Begrundelse herfor er Regnskabslovens bestemmelser

Elektronisk på Bærbar Mac med sikkerhedskopi i Google drive

Regnskab

fakturaer, indkøbsordrer, regnskaber og andre historiske regnskaber

5 år i henhold til Regnskabslovens bestemmelserElektronisk på Bærbar Mac med sikkerhedskopi i Google drive. Data ligger også i Billys Billing, der anvendes til regnskab.

Budgetter og Planer

Fremadrettede finansielle skøn og planer indeholder ingen persondata

  

System Transaktioner logfiler

Hillerup Consult Group benytter ikke disse

  

Overvågningslogfiler

Hillerup Consult Group benytter ikke disse

  

Videoovervågning

Hillerup Consult Group benytter ikke dette

  
E-mails i mailsystem

Efter 2 år slettes mails automatisk fra alle postkasser og bakker

Elektronisk på Bærbar Mac, samt i skyen hos Google, Microsoft samt Unoeuro.

Registreringen af behandlingsaktiviteterne endte ud i en konkret handlingsplan som følger:

Action
Få udarbejdet ligitim interesse dokumentation for leadopfølgning, samt tilhørende privatlivsmeddelelse
Få lavet databehandleraftaler med Stripe, UnoEuro, Google og Mailchimp
Få sat automatisk sletning på mailkonti
Følg op på om de nuværende handelsbetingelserne og privatlivsmeddelser i online shoppen opfylder GDPR krav

 

Udarbejdelse af Legitim Interesse / Interesse afvejning

Til den første opgave benyttede jeg skabelonerne ”Procedure for udarbejdelse af Legitim Interesse”samt ”Formular til udarbejdelse af Legitim Interesse”, hvilket har klarlagt min rimelige argumentation for at jeg kontakter mine leads uden deres samtykke. På baggrund af denne har jeg efterfølgende udarbejdet en privatlivsmeddelelse som fremtidige leads kan læse, hvis de har interesse herfor (hvilket jeg tvivler på). Dette kan jeg så fremvise til Datatilsynet, hvis jeg skulle blive kontaktet af dem.

Databehanderaftaler

Databehandleraftalerne var nemt at komme omkring. Alle leverandører havde udarbejdet standardaftaler, der overholder GDPR, som blot skulle accepteres ved underskrift og i nogle tilfælde er de faktisk indarbejdet i eksisterende standardkontrakter. Så jeg har downloadet disse, og lagt dem i en mappe for sig selv. Du kan nemt finde disse ved at Google leverandørens navn efterfulgt af GDPR, data processing agreement eller andet. Her er nogle links som måske kan hjælpe dig:

https://www.unoeuro.com/compliance/

https://cloud.google.com/terms/data-processing-terms

https://mailchimp.com/help/about-mailchimp-the-eu-swiss-privacy-shield-and-the-gdpr/

http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=46

 

Automatisk sletning på mailkonti

I min virksomhed benytter jeg Macbook, og benytter Apples egen Mail til at administrere alle mine mailkonti, hvad enten de ligger hos Google (Gmail), Microsoft (Outlook) eller UnoEuro. Således har jeg udarbejdet regler for automatisk at slette alle mails, der er ældre end 600 dage (mindre end 2 år). Det er min oplevelse af ældre mails primært er nice to have og ikke need to have. Skulle der være mails jeg ikke vil slette, har jeg gemt disse på min Mac samt sikret mig at persondata i mailen er slettet.

Endvidere har jeg opsat mere restriktive sletteregler for en lang række andre mails jeg modtager, således at min mailboks ikke fyldes unødigt. Nedenfor ser du et skærmprint af opsætningen af mine regler.

 

Handelsbetingelser og privatlivsmeddelelser

Til den sidste opgave i handlingsplanen udarbejdede jeg en procedure til skabelse af privatlivserklæringer / fortrolighedserklæringer. Dette er både til egen hukommelse samt til Datatilsynet, hvis jeg skulle blive bedt herom. Efterfølgende læste jeg eksemplerne på fortrolighedserklæringer til såvel hjemmeside som til e-handel, hvorefter jeg benyttede ”Formular til udarbejdelse af fortrolighedserklæringer” til at skabe mine egne. En smule omstændigt, I know, men nu har jeg dokumentation på hvorledes jeg er kommet frem til resultatet.

Jeg benyttede endvidere ”Formular til udarbejdelse af samtykke” til mine samtykkeerklæringerne, såvel på mit nyhedsbrev i GetRelated, samt til betingelser for e-handel i GDPRdok.

Sletning af øvrige dokumenter

Dernæst gennemgik jeg min Macbook og fysiske mapper for de øvrige dokumenter, kontrakter mv., og smed det ud som politikken krævede, hvilket ikke var meget, da Getrelated kun har eksisteret i små 6 år.

Øvrige politikker og procedurer

Jeg kunne nu vende tilbage til den oprindelige Gab analyse, og koncentrerede mig om at få udarbejdet de fornødne politikker og procedurer.

Således har jeg tilpasset skabelonen ”Politik for sikring af Privatliv og Persondatasikkerhed”, der dokumenterer mine tiltag for at overholde GDPR på et overordnet plan. Igen er dette både til egen hukommelse samt til Datatilsynet, hvis jeg skulle blive bedt herom.

I forlængelse af dette, har jeg på 15 minutter udarbejdet en procedure for imødekommelse af anmodninger om indsigt i data fra de registrerede, samt udarbejdet en formular der skal udfyldes af den registrerede, hvis de ønsker indsigt, som de er berettiget til. Dette ved at benytte skabelonerne ”Procedure for imødekommelse af anmodninger” samt ”Formular til imødekommelse af anmodninger”. Formularen har jeg uploadet på mine hjemmesider.

Endelig har jeg hurtigt tilpasset ”Procedure for anmeldelse af brud på Persondatasikkerheden” samt noteret mig, at der ligger 2 eksempler på hvorledes man kan kommunikere et sådant brud til omverden. Så er jeg forberedt hvis dette skulle ske.

Nu overholder jeg GDPR

Og det var sådan set det. Nu kan jeg gå tilbage til min Gab analyse og skrive ja til alle punkter hvor jeg havde udfordringer. Jeg overholder, baseret på min bedste overbevisning, GDPR til fulde, og er fortrøstningsfuld ift. at blive kontaktet af Datatilsynet.

Ud af de 34 dokumenter der udgør sættet af skabeloner til politikker, procedurer mv, har jeg kun brugt 18 dokumenter, eksklusiv den generelle vejledning. Men jeg har sparet masser af tid, og jeg har nu et sæt dokumenter, hvor jeg har dokumenteret hvilke data jeg har og hvorledes jeg passer på dem, hvornår jeg sletter dem mv.

Dette kan jeg bruge til en årlig revurdering af mine tiltag, sådan som GDPR faktisk kræver, og jeg kan bruge det til at dokumentere mine tiltag overfor Datatilsynet. Skulle jeg få en medarbejder på et tidspunkt, er der også relativt let at sætte vedkommende ind i tingene.

Så ja, jeg føler mit tryg, kan sætte et flueben ved GDPR compliance, og fokusere på noget ”reelt” arbejde.

Få alle mine GDPR dokumenter

Jeg har uploadet alle mine tilpassede dokumenter til det samlede sæt af dokumenter som du kan købe på www.GDPRdok.dk, så du kan se de konkrete eksempler og støtte dig til dem i dit GDPR arbejde. Jeg håber at du har fundet inspiration og mod til enten at komme igang med dit GDPR arbejde eller at gøre det helt færdigt. 

25 maj 2018 – GDPR dommedag or not!

Så blev det den 25 maj 2018. Datoen, der har gjort konsulentbureauer, advokater og revisorer – om ikke rige – så pænt velhavende. Datoen, der har givet virksomheder nye interne funktioner, usikkerhed om hvad, hvor meget og hvordan, og kostet både kroner og timer. Datoen, der har været skillelinjen mellem mulighed for myndighederne at give små bøder reaktivt, til at give massive bøder proaktivt. Det er estimeret, at det foreløbigt har kostet 8 mia kr for danske virksomheder at nå dertil, hvor de nået til nu. Spørgsmålet er dog, om virksomhederne har gjort nok, gjort det rigtige, og har fremtidssikret virksomhedens overholdelse af love og regler.

Jeg tror ikke på nogen bøderegn i den kommende tid. Datatilsynet har ikke fået ressourcer til at kontrollere alle danske virksomheder eller til at tage omfattende stikprøver. Men vi må nok forbedrede os på en eller anden form for digital kontrol, hvor virksomhederne bliver bedt om digitalt at dokumentere overholdelse af en delmængde af forordningens regler. Og at den pågældende virksomhed bliver screenet ift. hvorledes man har svaret på denne kontrol.

Personligt er jeg bekymret for, at virksomhederne ikke har fået nedskrevet politikker og procedurer for hvorledes man skal behandle data i virksomheden. Hvis ikke dette er gjort, ja så kommer man på sigt til at lave fejl, fordi man glemmer hvad der var aftalt og hvem der havde ansvar for hvad. Endvidere er man ikke i stand til at dokumentere databehandlingen overfor Datatilsynet. Herved pådrages virksomheden risiko for påtaler og bøder fra myndighederne.

Derfor har jeg udviklet  skabeloner til politikker og procedurer, som du kan købe på GDPRdok.dk.