Forside · Compliance · GDPR uden jura-sprog
COMPLIANCE · GDPR FOR DANSKE VIRKSOMHEDER

GDPR-regler uden jura-sprog.

En ærlig gennemgang for danske virksomheder. Vi vil ikke belære jer. Vi vil ikke skræmme jer. Vi vil bare forklare det på dansk, så I kan beslutte, hvad I rent faktisk skal gøre i jeres virksomhed.

KORT SVAR

GDPR pålægger alle virksomheder der behandler EU-borgeres persondata at overholde seks principper for lovlig behandling. Kerndokumenterne er behandlingsfortegnelse, databehandleraftaler med leverandører og en hændelsesplan til overholdelse af 72-timers anmeldelsesfristen.

DET HANDLER OM ÉN TING

Hele GDPR i én sætning.

Hvis I ikke gider læse resten, så husk i hvert fald det her.

"Når kunder, medarbejdere eller andre giver jer deres oplysninger, så pas på dem, som om de var jeres egne."

Det er hele GDPR. Resten er bare den juridiske formulering af det princip.

Tænk på det sådan: hvis I selv afleverede jeres CPR-nummer, mailadresse og adresse til en lokal håndværker, ville I så ikke gå ud fra, at han passer på det? At han ikke sender det rundt til alle sine bekendte? At han ikke lader det ligge frit fremme i butikken? At han kan fortælle jer, hvad han bruger det til?

Selvfølgelig. Det er almindelig anstændighed. GDPR er den lov, der siger, at virksomheder skal opføre sig sådan, ikke som en venlig opfordring, men som et krav.

HVAD ER PERSONDATA

Hvis I kan finde frem til en bestemt person, så er det persondata.

Den juridiske definition er lang. Den praktiske er simpel.

ER PERSONDATA

  • Navn
  • Mailadresse
  • Telefonnummer
  • Adresse
  • CPR-nummer
  • Foto, hvor man kan kende personen
  • IP-adresse
  • Kundenummer
  • Brugernavn
  • Lønoplysninger
  • Nummerplader på biler
  • Stemmen i en optaget samtale

ER IKKE PERSONDATA

  • "Vi har solgt 50 produkter i Q1"
  • "Vores kundebase er vokset 20%"
  • En liste over byer, hvor I har kunder, uden navne
  • Anonymiserede statistikker
  • Aggregerede tal uden personhenvisning

FØLSOMME OPLYSNINGER, STRENGERE REGLER

  • Helbredsoplysninger
  • Religion, politisk holdning
  • Seksuel orientering, etnicitet
  • Biometriske og genetiske data
LOVGRUNDLAG

De 6 grunde til at I overhovedet behandle persondata.

I må ikke behandle persondata, bare fordi I gerne vil. I skal have en grund, loven anerkender seks.

01 · SAMTYKKE

Kunden har sagt ja

Newsletter-tilmeldinger, marketing-cookies, billeder på Facebook. Kunden skal aktivt have valgt det.

02 · KONTRAKT

I har en kontrakt med personen

I skal levere en vare, sende fakturaer eller levere ydelser. Det kræver naturligt nogle oplysninger.

03 · LOVKRAV

Loven kræver det

Bogføringsloven kræver, at I gemmer fakturaer i 5 år. Arbejdsmiljøloven kræver visse medarbejderoplysninger.

04 · VITAL INTERESSE

Det er nødvendigt for at redde nogens liv

Sjældent for de fleste virksomheder. Relevant primært for sundhedssektoren.

05 · SAMFUNDSOPGAVE

Det er en samfundsopgave

Gælder primært offentlige myndigheder, der løser opgaver af offentlig interesse.

06 · BERETTIGET INTERESSE

I har en berettiget interesse

Den mest fleksible, men også mest misbrugte. I må behandle data, hvis I har en god grund, og det ikke overskrider hensynet til personen.

For de fleste virksomheder gælder primært 1, 2 og 3. Det er sjældent kompliceret. Det vigtige er, at I ved hvilken grund I bruger, og kan forklare den, hvis nogen spørger.
I PRAKSIS

Hvad skal I rent faktisk gøre i hverdagen?

Den korte liste over, hvad GDPR i praksis betyder for en almindelig dansk virksomhed.

01 · OVERSIGT

Hav en behandlingsfortegnelse

I skal kunne svare på spørgsmålet: "Hvilke persondata har I, hvor ligger de, og hvorfor?" Det er bare en liste. Den behøver ikke være lang eller pæn, den skal bare være.

Typisk består den af kolonner med hvad, hvor, hvorfor og hvor længe. Kundedata i CRM, medarbejderdata i lønsystem, newsletter-tilmeldinger i Mailchimp. Det er det.

I BESTSECURITY.IO

Auto-genereres fra fem felter: CVR, branche, antal ansatte, kontaktperson og DPO. Platformen henter data fra CVR-registeret og bygger fortegnelsen automatisk, og opdaterer den løbende.

02 · POLITIK

Hav en privatlivspolitik

På jeres hjemmeside skal stå, hvad I gør med persondata, hvilke I samler, hvorfor, hvor længe, og hvad folk kan gøre, hvis de vil have indsigt eller sletning. Findes som skabelon mange steder. Tilpas den til jeres situation.

I BESTSECURITY.IO

30 dokumenter auto-genereres: Privatlivspolitik, IT-sikkerhedspolitik, opbevaringspolitik, hændelsesplan, DPA'er og 25 andre, alle med jeres specifikke data. Ingen tomme skabeloner.

03 · ADGANG

Pas på, hvem der kan se hvad

Det burde ikke være alle, der kan se alt. Bogholderen behøver ikke se kundeklager. Sælgeren behøver ikke se lønsedler. Studentermedhjælpen behøver ikke se HR-mappen.

Hav forskellige niveauer af adgang. Brug stærke passwords. Brug to-faktor-godkendelse, hvor det er muligt.

04 · LEVERANDØRER

Hav databehandleraftaler (DPA'er)

Når I bruger systemer, der behandler persondata for jer, fx Microsoft 365, et regnskabsprogram eller en hjemmeside-host, skal I have en databehandleraftale med dem. Det lyder besværligt. Det er det ikke.

De fleste seriøse leverandører har en standardaftale liggende. I downloader den, skriver under og gemmer den. Listen over alle jeres databehandlere skal I have liggende og opdatere, når I skifter leverandør.

I BESTSECURITY.IO

DPA-styring med fornyelsesnotifikationer: Levende oversigt over alle databehandlere, status, tredjelandsoverførsler og underdatabehandlere. Generér nye DPA'er direkte i portalen på Datatilsynets officielle skabelon.

05 · BRUD

Hav en plan for, når det går galt

Det går galt en dag. En mail sendes til den forkerte. En laptop bliver stjålet. En medarbejder klikker på en phishing-mail.

Når det sker, har I 72 timer til at vurdere, om det skal anmeldes til Datatilsynet. Hvis I har en simpel plan på papir for, hvem der gør hvad, så er det håndterbart.

I BESTSECURITY.IO

Hændelseshåndtering med 72-timers tracker: Bruddet registreres, klassificeres, nedtælling starter automatisk, anmeldelsesdokument genereres, og hver handling logges som audit-spor. Ingen panik, ingen Excel.

06 · OPRYDNING

Slet hvad I ikke behøver

Hold ikke på data længere end nødvendigt. Hvis en kunde ikke har handlet hos jer i 5 år, og bogføringsloven ikke kræver det, så slet dem.

Det er ikke kun lovligt påkrævet. Det er også sund fornuft, jo mindre data I har, jo mindre risiko har I.

PRIORITER INDSATSEN

De ting, der oftest koster bøder.

Hvis I vil prioritere, hvor I starter, så er det her, hvad Datatilsynet typisk straffer for.

Ingen behandlingsfortegnelse

Det vigtigste dokument, I skal have. Det er reelt en liste, men I skal kunne fremvise den.

Manglende databehandleraftaler

Hvis I bruger Microsoft 365 eller et regnskabsprogram uden en DPA, så er det en bøde-risiko.

Manglende reaktion på indsigtsanmodninger

Hvis kunder beder om indsigt, og I ikke svarer inden 30 dage, så er det en bøde-risiko.

For lang opbevaringstid

Hvis I gemmer data længere end nødvendigt, og særligt hvis I ikke kan begrunde hvorfor.

Brud, der ikke anmeldes

Hvis I har haft et brud og ikke anmeldt det, og Datatilsynet senere finder ud af det, så er det værre end at have haft bruddet.

Manglende dokumentation generelt

Hvis I gør det rigtige, men ikke kan dokumentere det, så bliver det behandlet som om I ikke gjorde det.

BESTSECURITY.IO

Platformen adresserer alle fem bødeområder

Behandlingsfortegnelse auto-genereres. Databehandleraftaler styres centralt med fornyelsesnotifikationer. Indsigtsanmodninger har deadline-tracking. Opbevaringstider håndteres pr. datakategori. Brud registreres med 72-timers tracker. Platformen gør jer ikke 100% sikre mod bøder, men den fjerner de fem mest oplagte fejl, der typisk koster penge.

DET KORTE SVAR

GDPR er ikke trolddom.

Det er sund fornuft sat i system. De fleste virksomheder kan komme rigtigt langt med struktur og lidt overblik.

"Pas på folks data, som var det jeres eget. Resten kan læres."

OFTE STILLEDE SPØRGSMÅL

Hvad er det vigtigste GDPR-dokument for en dansk SMV?

Behandlingsfortegnelsen. Den giver overblik over hvilke persondata I behandler, hvad de bruges til og hvem der har adgang. Det er udgangspunktet for alt andet GDPR-arbejde og det første Datatilsynet beder om.

Hvad er en DPA (databehandleraftale)?

En DPA er en kontrakt med leverandører der behandler persondata på jeres vegne, f.eks. cloud-udbydere, HR-systemer og marketingplatforme. Den er obligatorisk under GDPR og specificerer hvad leverandøren må gøre med jeres data.

Hvad er de seks lovlige grunde til at behandle persondata?

Samtykke, kontrakt, retlig forpligtelse, vitale interesser, opgave i samfundets interesse og legitim interesse. For de fleste B2B-virksomheder er kontrakt og legitim interesse de primære hjemler.

Hvad koster det at overtræde GDPR?

Op til 20 mio. euro eller 4% af global årlig omsætning for de alvorligste overtrædelser. For mindre brud: op til 10 mio. euro eller 2%. Datatilsynet kan også udstede påbud, advarsler og midlertidige behandlingsforbud.

NÆSTE SKRIDT

Vil I have et system, der gør det for jer?

BestSecurity.IO automatiserer behandlingsfortegnelser, databehandleraftaler, indsigtsanmodninger og hændelseshåndtering. Onboarding tager under 30 minutter. Fra 3.499 kr. pr. år.