GDPR, Persondataforordning, EU datalov etc… ”kært” barn mange navne….
I denne artikel vil jeg vise dig meget konkret, hvad jeg har gjort for at overholde GDPR, samt hvorledes jeg kan dokumentere dette overfor Datatilsynet, hvis de skulle bede mig herom. I alt tog det mig blot ca. 12 timer on & off over en periode.
Først lidt om min virksomhed: Hillerup Consult Group er en enmandsvirksomhed med to kerneydelser, to hjemmesider på to forskellige domæner. Den ene hedder GetRelated og er en konsulentvirksomhed, der har eksisteret siden 2013, med en hel del kundeforhold og et nyhedsbrev med abonnenter. I GetRelated har jeg blandt andet arbejdet med implementering af GDPR i flere lande.
Den anden ydelse hedder GDPRdok (www.gdprdok.dk) og er en tjenesteydelse, der netop beskæftiger sig med GDPR. I denne virksomhed har jeg, på baggrund af min erfaring fra GetRelated, udviklet et sæt skabeloner til procedurer, politikker mv. der gør arbejdet med GDPR relativt nemt og hurtigt. Dette sæt skabeloner er til salg i min onlineshop.
Qua disse ydelser behandler jeg en del persondata, men ingen følsomme persondata.
For at overholde GDPR har jeg har smagt min egen medicin, og brugt mine skabeloner til min egen GDPR opgave. Jeg håber at dette kan tjene til inspiration til at du og mange flere virksomheder får ro i maven og styr på GDPR.
Den indledende fase – GDPR vejledning og Gab analyse
Ja, jeg skulle jo gennem vejledningen, men sprang direkte til det aktionsprægede afsnit, der netop fokuserer på hvilke handlinger jeg skulle gøre og hvorledes skabelonerne kan anvendes hertil.
Således indledte jeg med en Gab analyse på baggrund af skemaet med samme navn.
En lang række krav opfyldte jeg allerede, og endnu flere var ikke relevante for min virksomhed, så jeg endte med denne liste med udfordringer:
Krav | Overholdelse | Nødvendige tilttag |
Opbevares personoplysninger kun så længe det er nødvendigt? | Nej | Perioderne skal defineres |
Kan vi som Dataansvarlig påvise overensstemmelse med alle principper? | Nej | Mangler periode defintioner |
Efterkommes de registreredes rettigheder som krævet? | Nej | Der skal laves en procedure som dokumentation |
Er der indført procedurer for besvarelse af anmodninger om adgang til personoplysninger samt tilvejebringelse af samme? | Nej | Lav procedure til dokumentation |
Er oplysninger om internationale overførsler tilgængelige for den registrerede, når det er relevant? | Nej | Mailchimp: USA, Stripe USA |
Er der indført procedure for at slette personoplysninger uden unødig forsinkelse, når en registreret anmoder herom af legitime grunde? | Nej | Skal fremgå af ovenstående procedure |
Er det klart defineret, under hvilke omstændigheder sletningsanmodninger vil blive accepteret eller nægtet? | Nej | Skal fremgå af ovenstående procedure |
Er der indført procedure til at modtage, vurdere og overholde indsigelser mod behandling af personoplysninger? | Nej | Der skal udarbejdes procedure |
Er der gennemført passende databeskyttelsespolitikker? | Nej | Der skal udarbejdes politikker |
Er der indført en procedure der sikrer, at der anmeldes brud på persondatasikkerheden til tilsynsmyndigheden inden for den tidsramme, der er fastsat i GDPR? | Nej | Der udarbejdes procedure |
Er der indført procedurer der sikrer, at anmeldelsen af et brud på persondatasikkerheden til tilsynsmyndigheden indeholder alle nødvendige oplysninger? | Nej | Der udarbejdes procedure |
Bliver alle brud på persondatasikkerheden dokumenteret? | Nej | Der udarbejdes procedure |
Er der indført procedurer til vurdering af, om det er nødvendigt at underrette den registrerede? | Nej | Skal fremgå af proceduren |
Nu havde jeg dannet mig et overordnet indryk af mine udfordringer, der handlede om indførsel af korrekte politikker og procedurer, som i sidste ende vil gøre, at mine kunder oplever den korrekte behandling af deres data og rettigheder, at jeg er forberedt hvis jeg skulle få et databrud, samt at jeg kan dokumentere alle mine handlinger og valg overfor Datatilsynet eller andre.
Det konkrete arbejde
Som første led i det konkrete arbejde udarbejdede jeg en liste over alle mine databehandlingsaktiviteter med basis i skabelonen ”Registrering af behandlingsaktiviteter”. Jeg støttede mig til det konkrete eksempel herpå, der også er inkluderet i det sæt jeg har udarbejdet.
Således har jeg dokumenteret alle persondatabehandlinger jeg foretager, og kan vende tilbage hertil og tilføje eller slette, hvis der sker ændringer, samt anvende det overfor Datatilsynet som dokumentation.
Nedenfor ser du et uddrag af listen, idet en lang række andre kolonner ikke kan vises her af pladsmæssige årsager.
Forretningsaktivitet | Dataposter | Beskrivelse | Særlig kategori (følsomme persondata) | Indhentet fra den registrerede? | Dataejer | Formål med behandling | Lovlig behandling |
Website salg i GDPRdok | Kunde navn | Kundens navn; undertiden forskellig fra navnet på den person, der modtager support | Nej | Ja | Claus Hillerup | Salgsposter og løbende support | Opfyldelse af kontrrakt |
Website salg i GDPRdok | Kunde mailadresse | Kundens emailadresse, normalt en virksomhedsmail, men ofte en Gmail-eller Hotmail-konto | Nej | Ja | Claus Hillerup | Salgsposter og løbende support | Opfyldelse af kontrrakt |
Website salg i GDPRdok | Kunde telefonnummer | Telefonnummer, normalt et virksomhedsnummer, men kan være personligt | Nej | Ja | Claus Hillerup | Kontaktmulighed hvis mail ikke virker | Opfyldelse af kontrrakt |
Website salg i GDPRdok | Kreditkort oplysninger | Nummer, udløb og CVC fra kundens kreditkort | Nej | Ja | Claus Hillerup | Betaling – oplysninger opbevares ikke af os. | Opfyldelse af kontrrakt |
Website salg i GDPRdok | Kunde adresse | Fysisk adresse, herunder gade, by, postnummer og land | Nej | Ja | Claus Hillerup | Verification på kundes korrekthed | Opfyldelse af kontrrakt |
Salgsopfølgning GDPRdok | Kunde navn og mailadresse | Kundens emailadresse, normalt en virksomhedsmail, men ofte en Gmail-eller Hotmail-konto | Nej | Ja | Claus Hillerup | Mersalg og marketing | Markedsføringsloven §10 stk 2 |
Faktura generering og fremsendelse på mail | Kunde navn og mailadresse | Alle kundeinformationer (kreditkort undtaget) | Nej | Ja | Claus Hillerup | Regnskabsopfølgning og kvittering til kunde | Opfyldelse af kontrakt |
Nyhedsbrev fra Getrelated | Kunde navn og mailadresse | Kundens emailadresse, normalt en virksomhedsmail, men ofte en Gmail-eller Hotmail-konto | Nej | Ja | Claus Hillerup | Mersalg og marketing | Samtykke |
Download af vejledning GDPRdok | Kunde navn og mailadresse | Kundens emailadresse, normalt en virksomhedsmail, men ofte en Gmail-eller Hotmail-konto | Nej | Ja | Claus Hillerup | Levere vejledning efter anmodning fra kunden | Legitim interesse |
| | | | | | | |
Sideløbende udarbejdede jeg en politik for sletning af data på baggrund af skabelonen ”Politik for opbevaring og sletning af persondata”, hvor jeg fastsatte hvor længe jeg ville beholde f.eks. mails og andre dokumenter med persondata. Disse valg har jeg dokumenteret i det skema som ligger i skabelonen, som følger:
Beskrivelse | Opbevaringsperiode og begrundelse herfor | Lagringsmedier |
Kunder Personlige oplysninger, herunder kundernes navne, adresser, ordrehistorik, og bankoplysninger | 5 år efter sidste køb Begrundelse herfor er Regnskabslovens bestemmelser | Elektronisk på Bærbar Mac med sikkerhedskopi i Google drive. Data ligger også i Billys Billing, der anvendes til regnskab. |
Leverandører Personlige oplysninger, herunder Leverandørers navne, adresser, ordrehistorik, og bankoplysninger | 5 år efter sidste køb Begrundelse herfor er Regnskabslovens bestemmelser | Elektronisk på Bærbar Mac med sikkerhedskopi i Google drive |
Medarbejdere Hillerup Consult har ingen medarbejder | | |
Kontrakter juridiske kontrakter, vilkår og betingelser, | 5 år efter udløb Begrundelse herfor er Regnskabslovens bestemmelser | Elektronisk på Bærbar Mac med sikkerhedskopi i Google drive |
Regnskab fakturaer, indkøbsordrer, regnskaber og andre historiske regnskaber | 5 år i henhold til Regnskabslovens bestemmelser | Elektronisk på Bærbar Mac med sikkerhedskopi i Google drive. Data ligger også i Billys Billing, der anvendes til regnskab. |
Budgetter og Planer Fremadrettede finansielle skøn og planer indeholder ingen persondata | | |
System Transaktioner logfiler Hillerup Consult Group benytter ikke disse | | |
Overvågningslogfiler Hillerup Consult Group benytter ikke disse | | |
Videoovervågning Hillerup Consult Group benytter ikke dette | | |
E-mails i mailsystem | Efter 2 år slettes mails automatisk fra alle postkasser og bakker | Elektronisk på Bærbar Mac, samt i skyen hos Google, Microsoft samt Unoeuro. |
Registreringen af behandlingsaktiviteterne endte ud i en konkret handlingsplan som følger:
Action |
Få udarbejdet ligitim interesse dokumentation for leadopfølgning, samt tilhørende privatlivsmeddelelse |
Få lavet databehandleraftaler med Stripe, UnoEuro, Google og Mailchimp |
Få sat automatisk sletning på mailkonti |
Følg op på om de nuværende handelsbetingelserne og privatlivsmeddelser i online shoppen opfylder GDPR krav |
Udarbejdelse af Legitim Interesse / Interesse afvejning
Til den første opgave benyttede jeg skabelonerne ”Procedure for udarbejdelse af Legitim Interesse”samt ”Formular til udarbejdelse af Legitim Interesse”, hvilket har klarlagt min rimelige argumentation for at jeg kontakter mine leads uden deres samtykke. På baggrund af denne har jeg efterfølgende udarbejdet en privatlivsmeddelelse som fremtidige leads kan læse, hvis de har interesse herfor (hvilket jeg tvivler på). Dette kan jeg så fremvise til Datatilsynet, hvis jeg skulle blive kontaktet af dem.
Databehanderaftaler
Databehandleraftalerne var nemt at komme omkring. Alle leverandører havde udarbejdet standardaftaler, der overholder GDPR, som blot skulle accepteres ved underskrift og i nogle tilfælde er de faktisk indarbejdet i eksisterende standardkontrakter. Så jeg har downloadet disse, og lagt dem i en mappe for sig selv. Du kan nemt finde disse ved at Google leverandørens navn efterfulgt af GDPR, data processing agreement eller andet. Her er nogle links som måske kan hjælpe dig:
https://www.unoeuro.com/compliance/
https://cloud.google.com/terms/data-processing-terms
https://mailchimp.com/help/about-mailchimp-the-eu-swiss-privacy-shield-and-the-gdpr/
http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=46
Automatisk sletning på mailkonti
I min virksomhed benytter jeg Macbook, og benytter Apples egen Mail til at administrere alle mine mailkonti, hvad enten de ligger hos Google (Gmail), Microsoft (Outlook) eller UnoEuro. Således har jeg udarbejdet regler for automatisk at slette alle mails, der er ældre end 600 dage (mindre end 2 år). Det er min oplevelse af ældre mails primært er nice to have og ikke need to have. Skulle der være mails jeg ikke vil slette, har jeg gemt disse på min Mac samt sikret mig at persondata i mailen er slettet.
Endvidere har jeg opsat mere restriktive sletteregler for en lang række andre mails jeg modtager, således at min mailboks ikke fyldes unødigt. Nedenfor ser du et skærmprint af opsætningen af mine regler.
Handelsbetingelser og privatlivsmeddelelser
Til den sidste opgave i handlingsplanen udarbejdede jeg en procedure til skabelse af privatlivserklæringer / fortrolighedserklæringer. Dette er både til egen hukommelse samt til Datatilsynet, hvis jeg skulle blive bedt herom. Efterfølgende læste jeg eksemplerne på fortrolighedserklæringer til såvel hjemmeside som til e-handel, hvorefter jeg benyttede ”Formular til udarbejdelse af fortrolighedserklæringer” til at skabe mine egne. En smule omstændigt, I know, men nu har jeg dokumentation på hvorledes jeg er kommet frem til resultatet.
Jeg benyttede endvidere ”Formular til udarbejdelse af samtykke” til mine samtykkeerklæringerne, såvel på mit nyhedsbrev i GetRelated, samt til betingelser for e-handel i GDPRdok.
Sletning af øvrige dokumenter
Dernæst gennemgik jeg min Macbook og fysiske mapper for de øvrige dokumenter, kontrakter mv., og smed det ud som politikken krævede, hvilket ikke var meget, da Getrelated kun har eksisteret i små 6 år.
Øvrige politikker og procedurer
Jeg kunne nu vende tilbage til den oprindelige Gab analyse, og koncentrerede mig om at få udarbejdet de fornødne politikker og procedurer.
Således har jeg tilpasset skabelonen ”Politik for sikring af Privatliv og Persondatasikkerhed”, der dokumenterer mine tiltag for at overholde GDPR på et overordnet plan. Igen er dette både til egen hukommelse samt til Datatilsynet, hvis jeg skulle blive bedt herom.
I forlængelse af dette, har jeg på 15 minutter udarbejdet en procedure for imødekommelse af anmodninger om indsigt i data fra de registrerede, samt udarbejdet en formular der skal udfyldes af den registrerede, hvis de ønsker indsigt, som de er berettiget til. Dette ved at benytte skabelonerne ”Procedure for imødekommelse af anmodninger” samt ”Formular til imødekommelse af anmodninger”. Formularen har jeg uploadet på mine hjemmesider.
Endelig har jeg hurtigt tilpasset ”Procedure for anmeldelse af brud på Persondatasikkerheden” samt noteret mig, at der ligger 2 eksempler på hvorledes man kan kommunikere et sådant brud til omverden. Så er jeg forberedt hvis dette skulle ske.
Nu overholder jeg GDPR
Og det var sådan set det. Nu kan jeg gå tilbage til min Gab analyse og skrive ja til alle punkter hvor jeg havde udfordringer. Jeg overholder, baseret på min bedste overbevisning, GDPR til fulde, og er fortrøstningsfuld ift. at blive kontaktet af Datatilsynet.
Ud af de 34 dokumenter der udgør sættet af skabeloner til politikker, procedurer mv, har jeg kun brugt 18 dokumenter, eksklusiv den generelle vejledning. Men jeg har sparet masser af tid, og jeg har nu et sæt dokumenter, hvor jeg har dokumenteret hvilke data jeg har og hvorledes jeg passer på dem, hvornår jeg sletter dem mv.
Dette kan jeg bruge til en årlig revurdering af mine tiltag, sådan som GDPR faktisk kræver, og jeg kan bruge det til at dokumentere mine tiltag overfor Datatilsynet. Skulle jeg få en medarbejder på et tidspunkt, er der også relativt let at sætte vedkommende ind i tingene.
Så ja, jeg føler mit tryg, kan sætte et flueben ved GDPR compliance, og fokusere på noget ”reelt” arbejde.
Få alle mine GDPR dokumenter
Jeg har uploadet alle mine tilpassede dokumenter til det samlede sæt af dokumenter som du kan købe på www.GDPRdok.dk, så du kan se de konkrete eksempler og støtte dig til dem i dit GDPR arbejde. Jeg håber at du har fundet inspiration og mod til enten at komme igang med dit GDPR arbejde eller at gøre det helt færdigt.