GDPR Compliance Checklist: Hvordan du bliver GDPR compliant i 2023

How to be GDPR compliant. A checklist to GDPR compliance in 2023. how to be gdpr compliant small business

Introduktion

Endnu et år er ved at runde af. Vil lagde året ud med at lave en række forudsigelser om de centrale fokusområder inden for GDPR compliance i 2023. I Og for at binde en løkke, har vi skrevet denne artikel omkring en 2023 GDPR tjekliste.

I stedet for at se fremad giver denne artikel et retrospektivt indblik i de væsentlige højdepunkter for GDPR compliance i 2023. For at tilbyde dig praktiske redskaber, præsenterer jeg her en tjekliste. Denne tjekliste har til formål at give en direkte tilgang til GDPR, som du kan anvende enten fuldt ud eller delvist i dit daglige arbejde. Brug den til at sikre, at alle relevante områder er blevet overvejet.

Det er essentielt at forstå, at denne liste ikke er altomfattende. Den markerer nøgleområder i forhold til GDPR-lovgivningen. For at sikre fuld compliance, er det afgørende stadig at overholde alle de fastsatte GDPR krav, herunder udarbejdelse af fortegnelser, gennemførelse af risikovurderinger og planlægning af dit compliance-årshjul.

Læs mere om GDPR-compliance her
Alt du skal vide om GDPR
Påkrævede dokumenter i GDPR
Hvad er GDPR?
GDPR ordbogen

Har du brug for et overblik over dine GDPR-aktiviteter?
Brug .legal's GDPR Compliance værktøj - Privacy gratis.

 

Hvad er GDPR?

Lad os først definere, hvad GDPR er, for at give tjeklisten den rette sammenhæng. Hvis du allerede er velbevandret i emnet, er du velkommen til at springe dette afsnit over.

GDPR-forordningen, som trådte i kraft i maj 2018, sigter mod at sikre beskyttelse af personoplysninger for borgere indenfor EU. En generel forståelse af GDPR kan opnås ved at kende til de syv grundlæggende principper:

  1. Lovlighed, rimelighed og gennemsigtighed: Personoplysninger skal håndteres lovmæssigt, rimeligt og transparent. Lovlighed indebærer et juridisk grundlag for databehandling, som kan findes i artikel 6 og artikel 9 i GDPR-forordningen. Rimelighed og gennemsigtighed betyder, at den registrerede er fuldt informeret om, hvordan vedkommendes data behandles.

  2. Formålsbegrænsning: Din virksomhed må kun behandle personoplysninger med et klart, legitimt og dokumenteret formål og kun til de udtrykte formål, som den registrerede er informeret om.

  3. Dataminimering: Kun nødvendige data i forhold til det angivne formål må indsamles. Det er væsentligt løbende at vurdere, om det fortsat er nødvendigt at behandle de eksisterende data til formålet. Overflødige data bør slettes for at reducere risikoen for de registrerede personer.

  4. Rigtighed: Data skal være korrekte og ajourførte, og ikke længere relevante data skal fjernes.

  5. Opbevaringsbegrænsning: Personoplysninger må kun tilgås i det tidsrum, de er nødvendige for formålet med databehandlingen. Data uden for dette behov bør slettes eller anonymiseres.

  6. Integritet og fortrolighed: Sikkerhedsforanstaltninger skal implementeres for at beskytte mod uautoriseret adgang til persondata. Dette omfatter både tekniske og organisatoriske tiltag.

  7. Ansvarlighed: Din virksomhed skal kunne dokumentere overholdelse af de foregående seks principper og dokumentere håndteringen af persondata.

Disse syv principper bidrager til en grundlæggende forståelse af GDPR og formålet med forordningen. Selvom der løbende kommer opdateringer til både lovgivning og vejledninger, står de syv principper fast, og formålet med lovgivningen er at guide dig i, hvordan du overholder disse principper.

Gør GDPR sig gældende for min virksomhed?

Det enkle svar er "ja" - GDPR gælder for din virksomhed, hvis du behandler personoplysninger på EU-borgere.

Din virksomheds placering betyder ikke noget i denne sammenhæng. Det, der tæller, er de personer, hvis data du behandler; det kan være kunder eller ansatte.

Dette medfører, at enhver virksomhed med kontorer i EU er omfattet af GDPR og skal efterleve forordningens krav. Det er meget sandsynligt, at du som virksomhedsejer har ansatte, der er EU-borgere, eller kunder i samme land som din virksomhed.

For virksomheder uden for EU, er det stadig vigtigt at være opmærksom på GDPR. Overvej følgende scenarier: Tilbyder din virksomhed serviceydelser, der kan bruges af EU-borgere? Udfører du markedsføringskampagner målrettet EU-borgere? Har du en hjemmeside, der kommunikerer på et sprog, der tales i EU-landene (undtagen engelsk)? Har du en filial i EU, eller ansatte, der er EU-borgere? Der er mange situationer, hvor GDPR kommer i spil, selv hvis din virksomhed ikke er fysisk placeret i EU.

GDPR stiller ens krav til alle virksomheder. Det betyder, at den lille frisørforretning skal efterkomme de samme compliance-krav som den store IT-virksomhed, både når det kommer til dokumentation og efterlevelse af reglerne. Du vil dog ofte opleve, at kompleksiteten i arbejdet med GDPR-compliance varierer afhængigt af virksomhedens type. Dette kan være relateret til virksomhedens størrelse, de tilbudte tjenester og hvor digitaliseret virksomheden er.

At overdrive sit compliance-arbejde er ikke en fejl. Jo mere du gør for at efterleve de syv GDPR-principper, desto bedre sikrer du persondata for de personer, du behandler oplysninger om.

Du vil desuden opdage, at omfanget af din dokumentationsopgave varierer baseret på forskellige faktorer:

Offentlige institutioner: Disse har særlige regler og vejledninger at følge.

Stor datamængde: Hvis din virksomhed håndterer store mængder data, vil kravene til dokumentation stige.

Følsomme data: Hvis du behandler følsomme oplysninger som helbredsdata eller fagforeningsmedlemsskab, er der strengere krav til lovligheden af behandlingen og til de sikkerhedsforanstaltninger, der skal træffes.

Mange leverandører: Hvis du arbejder med mange forskellige systemer og underleverandører for at levere din service, bliver din data mapping mere kompliceret.

Forskellige roller: Når det kommer til databehandling, er der typisk tale om to hovedroller: dataansvarlig og databehandler. Alle virksomheder vil være dataansvarlige, men nogle vil også fungere som databehandler, som for eksempel dem der leverer IT-systemer til deres kunder. Dette kræver dokumentation fra flere vinkler og gør compliance-arbejdet mere komplekst.

Disse parametre afgør, hvor dybdegående din dokumentation skal være. Visse GDPR-opgaver er kun relevante for specifikke typer virksomheder, mens andre er universelle. Den efterfølgende tjekliste indeholder 10 GDPR compliance-aktiviteter, der har været centrale at forholde sig til i 2023.

GDPR compliance checkliste for alle typer virksomheder

How to be gdpr compliant, gdpr compliance checklist

For at sikre at din virksomhed er GDPR compliant, er der en række aktiviteter og dokumentationsopgaver, du skal forholde dig til. Det er en udfordring at opstille en fuldstændig tjekliste, da opgaverne varierer fra virksomhed til virksomhed.

Der findes grundlæggende aktiviteter, som alle virksomheder skal udføre, og så er der specifikke aktiviteter, der knytter sig til bestemte områder inden for din virksomheds aktivitetsfelt. Disse skal du naturligvis kun forholde dig til, hvis de er relevante for din virksomhed.

I denne artikel går vi i dybden med nogle af de GDPR compliance aktiviteter, som har været særligt relevante i 2023. Det kan være på grund af bødesager eller advarsler relateret til specifikke områder, eller fordi der er sket ændringer i verden, både teknologisk og juridisk. Hvert område vil blive forklaret, så du kan vurdere, om det er relevant for din virksomhed, om du allerede er compliant, eller om du skal udarbejde en plan for at sikre overensstemmelse.

Kend din data

At have styr på, hvordan organisationen behandler persondata, har altid været afgørende, og derfor indgår dette punkt også i tjeklisten. For at kunne gennemføre de andre opgaver på listen effektivt, er det essentielt først at kende til og have et overblik over dine data.

En praktisk tilgang til at opnå dette er ved at udføre en data mapping. Denne proces inkluderer en detaljeret gennemgang af, hvordan persondata behandles internt i din organisation. Det næste skridt er at supplere denne interne data mapping med en data flow mapping, som viser, hvordan og med hvem dine data deles.

Du kan finde yderligere information om, hvad du skal være opmærksom på i forbindelse med data mapping, i artiklen her.

Med stadigt stigende og skiftende compliancekrav bliver behovet for at kende din data endnu mere presserende. Samtidig øger disse øgede krav kompleksiteten i din data mapping. Det er derfor fordelagtigt at begynde tidligt og udbygge din data mapping løbende, frem for at vente og stå over for endnu mere komplekse regelsæt.

Har du gennemgået og opdateret dit data map i 2023? Har du sikret, at det er vedligeholdt og ajourført med eventuelle ændringer i din virksomhed og de gældende compliancekrav?

Ansæt en DPO eller persondataansvarlig

Er der en DPO eller persondataansvarlig i din virksomhed? Det er ikke obligatorisk for alle virksomheder at have en DPO, men det kan være en fordel, selv for dem hvor det ikke er et krav.

Selv hvis en DPO ikke er påkrævet, er det gavnligt at udpege en eller flere persondataansvarlige. Den stigende mængde af compliancekrav, både nuværende og fremtidige, gør det afgørende at have en person, som kan skabe overblik og strategi for, hvordan virksomheden overholder GDPR-reglerne.

At være GDPR-compliant er ikke en enmandsopgave, men et fælles ansvar for hele virksomheden. Forståelsen for beskyttelse af persondata skal være indarbejdet hos hver enkelt medarbejder. Uden en "kaptajn" til at navigere, kan det være vanskeligt at integrere denne forståelse i organisationens kultur. Derudover er der behov for, at en person tager føringen for at sikre, at dokumentationen er opdateret og forbliver ajour med juridiske ændringer.

Yderligere læsning: Hvad er en GDPR Data Protection Officer (DPO) og har jeg brug for én?

Har du forholdt dig til AI i din virksomhed?

Kunstig intelligens (AI) har været et af de store emner i 2023. En AI-model, som ofte er blevet omtalt, er ChatGPT, en generativ AI-model. Dette indebærer, at den er tekstbaseret og kan generere tekstlige eller billedlige output.

Output skabes gennem en såkaldt prompt, en tekstbesked hvor du beskriver, hvad du ønsker AI'en skal producere.

Mulighederne, som AI tilbyder og fortsat vil tilbyde, er utvivlsomt spændende. For mange virksomheder vil AI blive et effektivt redskab i det daglige arbejde. Når du indtaster tekst i en AI-model - og denne tekst potentielt kan indeholde personhenførbare data - bliver det vigtigt at inkludere GDPR-overvejelser.

For eksempel har Datatilsynet allerede udgivet vejledninger om brug af AI i offentlige myndigheder. Generelt vil det være gavnligt for dig og din virksomhed at udarbejde en form for politik på området. Dette betyder ikke, at AI-modeller skal forbydes i arbejdet, men at der bør være en politik, som medarbejdere kan blive uddannede i og bevidste om, hvilke informationer der er passende at dele med AI'en.

Evaluer brugen af persondata, risiko, sikkerhedsforanstaltninger

Compliance er en proces, der tager udgangspunkt i risikostyring. Det er essentielt, at du udfører risikovurderinger af alle de processer, du har identificeret i din data mapping, og er proaktiv i forhold til at håndtere eventuelle trusler.

Dette aspekt er inkluderet i tjeklisten, fordi der i løbet af året har været adskillige afgørelser og påtaler, hvor manglende sikkerhedsforanstaltninger har været et centralt kritikpunkt. Manglende sikkerhedsforanstaltninger øger risikoen for hændelser som hackerangreb eller uautoriseret adgang til persondata.

Risikovurderinger og implementering af sikkerhedsforanstaltninger går hånd i hånd. Et eksempel fra en af Datatilsynets afgørelser peger på, at utilstrækkelig sikring af bred adgang til persondata forøger risikoen for, at uautoriserede får adgang til følsomme oplysninger.

Spørgsmålet er, om du har implementeret passende sikkerhedsforanstaltninger for at minimere risici i din organisation? At foretage risikovurderinger er det første skridt for at få et klart billede af situationen.

For yderligere information om, hvordan du udfører en GDPR risikovurdering, se her..

Datatilsynet har offentliggjort et katalog over sikkerhedsforanstaltninger som du kan se her: Katalog over sikkerhedsforanstaltninger.

Procedure for databrud

Dette afsnit er en direkte fortsættelse af det tidligere og handler om betydningen af at have en fastlagt procedure, hvis et databrud skulle forekomme.

I tilfælde af et databrud vises det klart, hvor effektiv dine procedurer og din GDPR-dokumentation er. Ifølge GDPR's artikel 33 er både dataansvarlige og databehandlere forpligtede til at rapportere et databrud inden for 72 timer efter opdagelsen.

Som databehandler skal du rapportere databruddet til den dataansvarlige, du behandler data for, og det er så vedkommendes ansvar at rapportere videre til de relevante myndigheder.

Er du dataansvarlig, skal du rapportere direkte til den relevante tilsynsmyndighed, som for eksempel Datatilsynet i Danmark. Rapporten skal indeholde oplysninger som identitet på de berørte personer og de involverede persondata. Derfor er din data mapping central, da den hjælper dig med hurtigt at skaffe et overblik.

Hvis du ikke rapporterer et databrud inden for den fastsatte frist, kan det ses som mangel på compliance. Har du derfor en procedure på plads til hurtigt at reagere i tilfælde af databrud?

Transparens i din dataindsamling

Det er afgørende for din virksomheds troværdighed at være åben og transparent omkring behandlingen af persondata. Dette krav om oplysningspligt skal enhver virksomhed, der behandler EU-borgeres persondata, overholde.

En privatlivspolitik er et centralt redskab i denne sammenhæng. Denne politik skal være let tilgængelig og synlig på din hjemmeside, så de personer, hvis data du behandler, til enhver tid kan finde information om behandlingen. Politikken skal ikke indeholde information om specifikke individer, men generelt henvise til, for eksempel, hvordan virksomheden behandler kunders persondata.

Indholdet af en privatlivspolitik varierer fra virksomhed til virksomhed, da de alle er forskellige og derfor kræver tilpasset GDPR-dokumentation. Men det er muligt at udarbejde en skabelon for, hvilke oplysninger din politik skal indeholde, baseret på GDPR's artikel 13. Skabeloner og eksempler kan også findes online, for eksempel på gdpr.dk.

Det er desuden vigtigt altid at sikre, at din privatlivspolitik er opdateret. En god praksis er at gennemgå politikken mindst én gang om året. Har du opdateret din privatlivspolitik i år?

Har du databehandlere, der er dækket under Data Privacy Framework?

Bruger du databehandlere i USA, bør du sætte dig ind i Data Privacy Framework, som har været en af de væsentlige udviklinger i 2023. USA har været betragtet som et usikkert tredjeland i forhold til beskyttelse af persondata, hvilket tidligere krævede ekstra sikkerhedsforanstaltninger ved dataoverførsler til amerikanske selskaber.

Det har indebåret brugen af et godkendt overførselsgrundlag såsom "standard kontraktbestemmelser" (Standard Contractual Clauses, SCC'ere) og en "Transfer Impact Assessment" (TIA) for det selskab, der modtager data.

Nu, hvis virksomheden du overfører data til, er registreret under Data Privacy Framework, kan du nøjes med at henvise til dette. Det forenkler dokumentationsarbejdet ved dataoverførsler til USA. Du kan slå op, hvilke virksomheder der er registreret, her.

Virksomheder, der certificeres under Data Privacy Framework, forpligter sig til at overholde en række databeskyttelseskrav. Dette bliver din sikkerhed i forbindelse med dataoverførslen. Du kan finde en liste over certificerede virksomheder her.

Hvis du overfører data til USA og dine databehandlere er certificeret under Data Privacy Framework, er det en god idé at opdatere dine eksisterende databehandleraftaler med denne information.

Læs også datatilsynets artikel om Privacy Framework her.

 

Har du en plan og fører du tilsyn med dine leverandører?

Det er essentielt, at du ikke kun opfylder de relevante compliancekrav for din egen virksomhed, men også sikrer, at de virksomheder, der behandler data på dine vegne, opretholder samme standarder.

Dit ansvar for compliance strækker sig ud over din egen organisations grænser. Det er afgørende, at du fører tilsyn med dine databehandlere for at sikre, at datasikkerheden er på plads. Dette gælder især, hvis din IT-leverandør behandler persondata for dig som en del af deres tjenesteydelser.

Med stigende compliancekrav til dig som virksomhed, skal du også sikre, at dine leverandører efterlever de samme krav. For eksempel, har de styr på deres dataoverførsler til virksomheder i USA?

Det er derfor anbefalelsesværdigt at føre løbende tilsyn med dine databehandlere. Dette sikrer, at de efterlever de aftalte vilkår for databehandling. Har du i løbet af 2023 sørget for at føre tilsyn med dine databehandlere?

Yderligere information om tilsyn med databehandlere kan du finde her.

Skal din virksomhed være NIS2-compliant?

Selvom NIS2 ikke direkte relaterer til GDPR-compliance, er der mange paralleller, som gør det relevant at inddrage NIS2 i dit dokumentationsarbejde, hvis du er omfattet af NIS2-direktivet.

NIS2-direktivet blev vedtaget i december 2022, og virksomheder, der er omfattet af direktivet, har indtil oktober 2024 til at implementere dets bestemmelser. Dette gør NIS2 særligt aktuelt i 2023 og forventes at fortsætte i 2024.

Mens GDPR fokuserer på behandling af persondata, har NIS2-direktivet et bredere sigte mod sikkerheden i samfundskritiske sektorer. Dette indebærer, at du skal have overblik over dine samfundskritiske aktiver, foretage risikovurderinger af disse og implementere en kontrol- og opgavestruktur til at understøtte dine NIS2-aktiviteter, hvilket minder om opgaverne i GDPR-compliance.

Det er muligt, at dele af din GDPR-dokumentation kan genbruges og udbygges i forhold til NIS2. Har du f.eks. kortlagt dine systemer og behandlingsaktiviteter i forbindelse med GDPR? Så kan denne kortlægning udvides til også at omfatte NIS2.

Er din virksomhed underlagt NIS2-direktivet, og er du allerede i gang med at implementere de påkrævede sikkerhedsforanstaltninger?

Fra 1. januar 2024 introducerer .legal et nyt ISMS-modul til Privacy, som inkluderer funktioner, der kan assistere dig med dine NIS2-opgaver, både i forhold til implementering og drift. Læs mere om modulet her.

GDPR-compliance i marketingaktiviteter

Marketing er en aktivitet, som næsten alle virksomheder beskæftiger sig med. Det har altid været vigtigt at overveje, hvordan personoplysninger håndteres i denne sammenhæng. Nutidens marketing er i høj grad datadrevet, især inden for direkte marketing, som er en populær strategi.

Når du udfører direkte marketing, vil dataene, du baserer dette på, ofte være omfattet af GDPR. Dette skyldes, at det er persondata, der kan bruges til at identificere personer, netop fordi du ønsker at rette din kampagne direkte mod dem.

Derfor er det afgørende at overveje, hvordan du behandler persondata i forbindelse med dine marketingaktiviteter. Dette har også været et fokuspunkt i 2023, hvor Datatilsynet blandt andet har udgivet en vejledning specifikt rettet mod direkte marketing.

Denne vejledning kan bruges til at planlægge dine marketingaktiviteter, så du sikrer, at GDPR-overvejelser er integreret fra starten.

Har du styr på, hvordan du behandler persondata i forbindelse med dine marketingaktiviteter?

Har du brug for et overblik over dine GDPR-aktiviteter?
Brug .legal's GDPR Compliance værktøj - Privacy gratis.

 

Hvordan du er GDPR compliant på din hjemmeside

Hjemmesiden fungerer som virksomhedens udstillingsvindue, og det er afgørende at sikre, at den er GDPR compliant. Dette gælder uanset hjemmesidens kompleksitet og funktionalitet. Her er nogle centrale opgaver, der skal udføres årligt for at opretholde compliance:

Cookiepolitik og banner:

  • Næsten alle hjemmesider bruger cookies til forskellige formål. Cookies kan kategoriseres som tekniske, statistik, personaliserede og til markedsføring.

  • Det er nødvendigt med en tydelig cookiepolitik, der forklarer formålet med hver type cookie. Besøgende skal kunne vælge, hvilke cookies de accepterer, før de tilgår hjemmesiden. Dette gøres gennem et cookiebanner eller en cookie popup.

  • Din cookiepolitik skal være opdateret med de aktuelle cookies og deres formål inden for de fire kategorier. Derudover skal en cookiepopup implementeres, som henviser til politikken og tillader besøgende at vælge cookies til og fra. Denne popup skal også opfylde specifikke krav.

Privatlivspolitik:

  • Din privatlivspolitik er et afgørende element for en GDPR compliant hjemmeside. Den skal løbende gennemgås og opdateres.

  • Tjek for ændringer i lovgivningen og vurder behovet for at opdatere de databehandlinger, din politik omhandler. Dette inkluderer formål, hjemmel, slettefrister, hvilke data der behandles og på hvem, samt overførsler af data til tredjelande. Din data mapping bliver et værdifuldt redskab i denne sammenhæng.

Det er en god idé at planlægge disse aktiviteter i et GDPR årshjul, så du sikrer, at de udføres løbende og kan dokumentere, at aktiviteterne bliver taget hånd om.

Læs også om GDPR-compliance ifm. Cloud her

Hvorfor bruge GDPR compliance software?

Do you need GDPR compliance software? Why use GDPR compliance software. GDPR Compliance platform. GDPR compliance tool.

Som det fremgår af denne artikel, er der mange aspekter at holde styr på i forbindelse med GDPR compliance. Nogle aktiviteter er løbende gennem året, mens andre opstår som følge af aktuelle sager.

At bevare overblikket over alle de aktiviteter, der er forbundet med at være GDPR compliant, kan være en udfordring. Her kan GDPR compliance software være en stor hjælp. Mange virksomheder starter deres compliance dokumentationsarbejde i eksempelvis Excel, men mange vokser hurtigt ud af disse mere statiske dokumenter.

Læs også vores sammenligning af Excel og GDPR-platforme.

Ved at automatisere processer og skabe overblik, bliver GDPR compliance software en hjælpende hånd i flere problemstillinger, såsom:

  • Udfordringer med samarbejde om GDPR dokumentationsopgaver.

  • Mangel på et samlet overblik, hvor al GDPR dokumentation er opbevaret.

  • Svært ved at skabe overblik over mangler i dokumentation og fremdrift.

  • Udfordringer med at overskue de forskellige juridiske regler.

  • At få hjælp og eksempler til at sikre korrekt håndtering af compliance.

  • At huske at ajourføre eksisterende dokumentation.

  • At holde sig opdateret med ændringer i GDPR-lovgivningen og dens indvirkning på dokumentationen.

Disse er blot nogle eksempler på problemstillinger, som GDPR compliance software som f.eks. Privacy fra .legal kan afhjælpe. En platform som Privacy vejleder dig igennem dine dokumentationsopgaver, tilbyder overblik og rapporter og viser, hvor der er mangler. Der kan automatisk dannes opgaver, som hjælper med at holde dokumentationen ajour. GDPR compliance software er designet specifikt til formålet, i modsætning til f.eks. Excel.

Funktionaliteter inkluderer moduler designet til GDPR-arbejde, såsom:

Har du styr på alle dine GDPR-aktiviteter? Eller kunne du bruge en platform, der hjælper dig i mål? Du kan bruge Privacy gratis så længe du ønsker – læs mere her.

Du kan også læse artiklen: Har du brug for GDPR compliance software?

 

+210 store og små virksomheder bruger .legal
Region Sjælland
Aarhus Universitet
Zwipe
aj_vaccines_logo
Right People
IO Gates
PLO
Finans Danmark
NK Forsyning
geia-food
Vestforbrænding
Boligkontoret danmark
Evida
Klasselotteriet
NRGI1
BLUE WATER SHIPPING
Karnov
VP Securities
AH Industries
Energi Viborg
Ingvard Christensen
Lægeforeningen
InMobile
AK Nygart
DEIF