1. Kortlæg dine informationsaktiver
Start med at danne dig et overblik over alle de steder, hvor din virksomhed opbevarer eller behandler personoplysninger. Det inkluderer IT-systemer, cloud-løsninger, drev, mobiltelefoner, bærbare computere og fysiske mapper.
Dette overblik er dit fundament for GDPR compliance. Uden det ved du ikke, hvilke systemer og processer du skal sikre, og du risikerer at overse kritiske behandlingsaktiviteter.
-
Kortlæg alle IT-systemer og cloud-løsninger
-
Inkludér fysiske medier som papirmapper og arkiver
-
Brug overblikket som grundlag for din risikovurdering og fortegnelse
2. Indgå databehandleraftaler
Bruger din virksomhed leverandører, der håndterer personoplysninger på dine vegne? Det kan fx være et lønsystem, et CRM eller en e-mail-platform. De er databehandlere, og du er forpligtet til at have en skriftlig databehandleraftale med hver af dem.
En databehandleraftale fastlægger, hvad leverandøren må og ikke må gøre med dine data. Den er lovpligtig og skal være på plads, før leverandøren behandler data for dig.
-
Identificér alle leverandører, der behandler persondata på dine vegne
-
Sørg for skriftlige aftaler med alle databehandlere
-
Hold aftalerne opdaterede, hvis leverandøren ændrer sine ydelser
3. Opret din artikel 30-fortegnelse
De fleste virksomheder er forpligtet til at føre en fortegnelse over deres behandlingsaktiviteter. Fortegnelsen dokumenterer, hvilke personoplysninger I behandler, til hvilket formål, og hvem der har adgang.
Start med at identificere de processer i din virksomhed, hvor der behandles personoplysninger:
-
Salg og kundeadministration
-
Marketing og kommunikation
-
HR: rekruttering, ansættelse og løn
-
Økonomi og fakturering
4. Lav en risikovurdering
En risikovurdering hjælper dig med at forstå, hvilke risici din behandling af personoplysninger udgør, og prioritere dine sikkerhedsforanstaltninger derefter. Jo højere risiko, desto stærkere krav.
En grundig risikovurdering kan spare dig for unødvendigt arbejde, fordi den sikrer, at du investerer indsatsen der, hvor det faktisk er nødvendigt.
-
Vurdér sandsynlighed og konsekvens for hver behandlingsaktivitet
-
Brug resultatet til at prioritere dine sikkerhedsforanstaltninger
-
Opdatér risikovurderingen, når din virksomhed ændrer sig
5. Implementér privacy by design og privacy by default
Privacy by design betyder, at databeskyttelse tænkes ind fra starten, når du udvikler systemer eller processer. Privacy by default betyder, at dine systemer som udgangspunkt behandler så få personoplysninger som muligt.
Begge principper er eksplicitte krav i GDPR og bør afspejles i, hvordan din virksomhed bygger og konfigurerer sine løsninger.
-
Dokumentér dine valg som en del af din compliance-dokumentation
-
Use the results to prioritise your security measures
-
Update the assessment whenever your organisation changes
6. Uddan og instruér dine medarbejdere
Din virksomhed er kun så GDPR-compliant som dine medarbejdere. Selv de bedste politikker hjælper ikke, hvis medarbejderne ikke ved, hvordan de håndterer personoplysninger i praksis.
Lav klare retningslinjer for brug af IT-redskaber, e-mail og andre systemer og sørg for, at alle kender dem. Awareness-træning bør være en fast del af onboarding og den løbende drift.
-
Lav skriftlige retningslinjer for behandling af personoplysninger
-
Træn medarbejdere ved onboarding og løbende
-
Dokumentér, at medarbejderne har modtaget og forstået retningslinjerne
7. Gennemgå din IT-sikkerhed
GDPR stiller krav om passende tekniske sikkerhedsforanstaltninger. Gennemgå din virksomheds IT-sikkerhed og vurdér, om der er huller: Er adgangsstyringen opdateret? Bruges stærke passwords og to-faktor-autentificering? Er data krypteret, hvor det er relevant?
-
Gennemgå adgangsstyring og brugerrettigheder
-
Implementér kryptering og to-faktor-autentificering
-
Lav en plan for håndtering af sikkerhedsbrud
8. Få styr på den fysiske sikkerhed
Digital sikkerhed er ikke nok alene. Personoplysninger kan også kompromitteres fysisk. Sørg for, at servere og fysisk dokumentation er aflåst og beskyttet, og at kun relevante medarbejdere har adgang.
-
Aflås adgang til serverlokaler og fysiske arkiver
-
Ryd op i unødvendige fysiske dokumenter med personoplysninger
-
Begræns adgang til kun relevante medarbejdere
9. Oplys dine kunder
Når du indsamler personoplysninger fra kunder, har de ret til at vide, hvad du bruger dem til. Det er din oplysningspligt. Sørg for, at din privatlivspolitik er opdateret, let tilgængelig og skrevet i klart og forståeligt sprog.
-
Opdatér din privatlivspolitik regelmæssigt
-
Gør den let tilgængelig, fx via din hjemmeside
-
Skriv den i et sprog, dine kunder faktisk forstår
10. Oplys dine medarbejdere
Behandlingen af medarbejdernes personoplysninger starter allerede i rekrutteringsfasen. Sørg for, at jobansøgere, nye ansatte og eksisterende medarbejdere er informeret om, hvordan I behandler deres oplysninger, typisk via en intern persondatapolitik.
-
Informér jobansøgere om databehandling fra første kontakt
-
Lav en intern persondatapolitik for medarbejdere
-
Opdatér den, når dine processer ændrer sig
.jpeg)
.jpg)
.jpg)
.jpg)
.png)
.jpeg)
.jpg)
