GDPR-regler uden jura-sprog.
En ærlig gennemgang for danske virksomheder. Vi vil ikke belære jer. Vi vil ikke skræmme jer. Vi vil bare forklare det på dansk, så I kan beslutte, hvad I rent faktisk skal gøre i jeres virksomhed.
KORT SVAR
GDPR pålægger alle virksomheder der behandler EU-borgeres persondata at overholde seks principper for lovlig behandling. Kerndokumenterne er behandlingsfortegnelse, databehandleraftaler med leverandører og en hændelsesplan til overholdelse af 72-timers anmeldelsesfristen.
Hele GDPR i én sætning.
Hvis I ikke gider læse resten, så husk i hvert fald det her.
Det er hele GDPR. Resten er bare den juridiske formulering af det princip.
Tænk på det sådan: hvis I selv afleverede jeres CPR-nummer, mailadresse og adresse til en lokal håndværker, ville I så ikke gå ud fra, at han passer på det? At han ikke sender det rundt til alle sine bekendte? At han ikke lader det ligge frit fremme i butikken? At han kan fortælle jer, hvad han bruger det til?
Selvfølgelig. Det er almindelig anstændighed. GDPR er den lov, der siger, at virksomheder skal opføre sig sådan, ikke som en venlig opfordring, men som et krav.
Hvis I kan finde frem til en bestemt person, så er det persondata.
Den juridiske definition er lang. Den praktiske er simpel.
ER PERSONDATA
- Navn
- Mailadresse
- Telefonnummer
- Adresse
- CPR-nummer
- Foto, hvor man kan kende personen
- IP-adresse
- Kundenummer
- Brugernavn
- Lønoplysninger
- Nummerplader på biler
- Stemmen i en optaget samtale
ER IKKE PERSONDATA
- "Vi har solgt 50 produkter i Q1"
- "Vores kundebase er vokset 20%"
- En liste over byer, hvor I har kunder, uden navne
- Anonymiserede statistikker
- Aggregerede tal uden personhenvisning
FØLSOMME OPLYSNINGER, STRENGERE REGLER
- Helbredsoplysninger
- Religion, politisk holdning
- Seksuel orientering, etnicitet
- Biometriske og genetiske data
De 6 grunde til at I overhovedet må behandle persondata.
I må ikke behandle persondata, bare fordi I gerne vil. I skal have en grund, loven anerkender seks.
Kunden har sagt ja
Newsletter-tilmeldinger, marketing-cookies, billeder på Facebook. Kunden skal aktivt have valgt det.
I har en kontrakt med personen
I skal levere en vare, sende fakturaer eller levere ydelser. Det kræver naturligt nogle oplysninger.
Loven kræver det
Bogføringsloven kræver, at I gemmer fakturaer i 5 år. Arbejdsmiljøloven kræver visse medarbejderoplysninger.
Det er nødvendigt for at redde nogens liv
Sjældent for de fleste virksomheder. Relevant primært for sundhedssektoren.
Det er en samfundsopgave
Gælder primært offentlige myndigheder, der løser opgaver af offentlig interesse.
I har en berettiget interesse
Den mest fleksible, men også mest misbrugte. I må behandle data, hvis I har en god grund, og det ikke overskrider hensynet til personen.
Hvad skal I rent faktisk gøre i hverdagen?
Den korte liste over, hvad GDPR i praksis betyder for en almindelig dansk virksomhed.
Hav en behandlingsfortegnelse
I skal kunne svare på spørgsmålet: "Hvilke persondata har I, hvor ligger de, og hvorfor?" Det er bare en liste. Den behøver ikke være lang eller pæn, den skal bare være.
Typisk består den af kolonner med hvad, hvor, hvorfor og hvor længe. Kundedata i CRM, medarbejderdata i lønsystem, newsletter-tilmeldinger i Mailchimp. Det er det.
Auto-genereres fra fem felter: CVR, branche, antal ansatte, kontaktperson og DPO. Platformen henter data fra CVR-registeret og bygger fortegnelsen automatisk, og opdaterer den løbende.
Hav en privatlivspolitik
På jeres hjemmeside skal stå, hvad I gør med persondata, hvilke I samler, hvorfor, hvor længe, og hvad folk kan gøre, hvis de vil have indsigt eller sletning. Findes som skabelon mange steder. Tilpas den til jeres situation.
30 dokumenter auto-genereres: Privatlivspolitik, IT-sikkerhedspolitik, opbevaringspolitik, hændelsesplan, DPA'er og 25 andre, alle med jeres specifikke data. Ingen tomme skabeloner.
Pas på, hvem der kan se hvad
Det burde ikke være alle, der kan se alt. Bogholderen behøver ikke se kundeklager. Sælgeren behøver ikke se lønsedler. Studentermedhjælpen behøver ikke se HR-mappen.
Hav forskellige niveauer af adgang. Brug stærke passwords. Brug to-faktor-godkendelse, hvor det er muligt.
Hav databehandleraftaler (DPA'er)
Når I bruger systemer, der behandler persondata for jer, fx Microsoft 365, et regnskabsprogram eller en hjemmeside-host, skal I have en databehandleraftale med dem. Det lyder besværligt. Det er det ikke.
De fleste seriøse leverandører har en standardaftale liggende. I downloader den, skriver under og gemmer den. Listen over alle jeres databehandlere skal I have liggende og opdatere, når I skifter leverandør.
DPA-styring med fornyelsesnotifikationer: Levende oversigt over alle databehandlere, status, tredjelandsoverførsler og underdatabehandlere. Generér nye DPA'er direkte i portalen på Datatilsynets officielle skabelon.
Hav en plan for, når det går galt
Det går galt en dag. En mail sendes til den forkerte. En laptop bliver stjålet. En medarbejder klikker på en phishing-mail.
Når det sker, har I 72 timer til at vurdere, om det skal anmeldes til Datatilsynet. Hvis I har en simpel plan på papir for, hvem der gør hvad, så er det håndterbart.
Hændelseshåndtering med 72-timers tracker: Bruddet registreres, klassificeres, nedtælling starter automatisk, anmeldelsesdokument genereres, og hver handling logges som audit-spor. Ingen panik, ingen Excel.
Slet hvad I ikke behøver
Hold ikke på data længere end nødvendigt. Hvis en kunde ikke har handlet hos jer i 5 år, og bogføringsloven ikke kræver det, så slet dem.
Det er ikke kun lovligt påkrævet. Det er også sund fornuft, jo mindre data I har, jo mindre risiko har I.
De ting, der oftest koster bøder.
Hvis I vil prioritere, hvor I starter, så er det her, hvad Datatilsynet typisk straffer for.
Ingen behandlingsfortegnelse
Det vigtigste dokument, I skal have. Det er reelt en liste, men I skal kunne fremvise den.
Manglende databehandleraftaler
Hvis I bruger Microsoft 365 eller et regnskabsprogram uden en DPA, så er det en bøde-risiko.
Manglende reaktion på indsigtsanmodninger
Hvis kunder beder om indsigt, og I ikke svarer inden 30 dage, så er det en bøde-risiko.
For lang opbevaringstid
Hvis I gemmer data længere end nødvendigt, og særligt hvis I ikke kan begrunde hvorfor.
Brud, der ikke anmeldes
Hvis I har haft et brud og ikke anmeldt det, og Datatilsynet senere finder ud af det, så er det værre end at have haft bruddet.
Manglende dokumentation generelt
Hvis I gør det rigtige, men ikke kan dokumentere det, så bliver det behandlet som om I ikke gjorde det.
Platformen adresserer alle fem bødeområder
Behandlingsfortegnelse auto-genereres. Databehandleraftaler styres centralt med fornyelsesnotifikationer. Indsigtsanmodninger har deadline-tracking. Opbevaringstider håndteres pr. datakategori. Brud registreres med 72-timers tracker. Platformen gør jer ikke 100% sikre mod bøder, men den fjerner de fem mest oplagte fejl, der typisk koster penge.
GDPR er ikke trolddom.
Det er sund fornuft sat i system. De fleste virksomheder kan komme rigtigt langt med struktur og lidt overblik.
OFTE STILLEDE SPØRGSMÅL
Hvad er det vigtigste GDPR-dokument for en dansk SMV?
Behandlingsfortegnelsen. Den giver overblik over hvilke persondata I behandler, hvad de bruges til og hvem der har adgang. Det er udgangspunktet for alt andet GDPR-arbejde og det første Datatilsynet beder om.
Hvad er en DPA (databehandleraftale)?
En DPA er en kontrakt med leverandører der behandler persondata på jeres vegne, f.eks. cloud-udbydere, HR-systemer og marketingplatforme. Den er obligatorisk under GDPR og specificerer hvad leverandøren må gøre med jeres data.
Hvad er de seks lovlige grunde til at behandle persondata?
Samtykke, kontrakt, retlig forpligtelse, vitale interesser, opgave i samfundets interesse og legitim interesse. For de fleste B2B-virksomheder er kontrakt og legitim interesse de primære hjemler.
Hvad koster det at overtræde GDPR?
Op til 20 mio. euro eller 4% af global årlig omsætning for de alvorligste overtrædelser. For mindre brud: op til 10 mio. euro eller 2%. Datatilsynet kan også udstede påbud, advarsler og midlertidige behandlingsforbud.
Vil I have et system, der gør det for jer?
BestSecurity.IO automatiserer behandlingsfortegnelser, databehandleraftaler, indsigtsanmodninger og hændelseshåndtering. Onboarding tager under 30 minutter. Fra 3.499 kr. pr. år.