Her kan du læse 6 tips til GDPR og hvordan du helt konkret arbejder med implementering af GDPR i en mindre eller mellemstor virksomhed (SMV), uden at investere store summer i nye værktøjer.
Magentas Databeskyttelsesansvarlig (DPO), Anne Dorte Back, holdt oplæg hos Ingeniørforeningen i Danmark (IDA), hvor hun fortalte om Magentas praktiske tilgang til GDPR som virksomhed. Der er kommet dette indlæg med tips til GDPR ud af oplægget, der kan komme andre mindre eller mellemstore virksomheder til nytte.
Tip 1: Overblik over data
Helt konkret skal der skabes et overblik over data på alle servere, harddiske, USB-sticks, tavler, it-systemer, papirarkiver, mobiltelefoner, SaaS- og cloud-løsninger, billedarkiver, og hvad der ellers måtte være relevant i jeres mindre eller mellemstore virksomhed ). Overblikket kan laves i et regneark.
GDPR vedrører alene persondata og personhenførbare data. Det vil sige data, der enten alene eller sammenholdt med anden data, kan bruges til at identificere et individ. Alle typer af data bør naturligvis klassificeres og indtænkes i jeres informationssikkerhed, men denne proces drejer sig om persondata og personhenførbare data.
Hvis du benytter SaaS- eller Cloudløsninger, der er baseret udenfor EU, skal du sikre, at de lever op til de europæiske myndigheders krav. Din serviceudbyder skal kunne fremvise dokumentation på at overholde GDPR. Benytter du en service i USA kan du eventuelt undersøge om firmaet optræder her: https://www.privacyshield.gov. Bemærk dog, at en erklæring om overholdelse af GDPR her alene er baseret på firmaets tro og love, og ikke indebærer en uafhængig revision.
Tip 2: Dataklassifikation
Når I har fået et overblik over alle jeres data, skal de kategoriseres i forhold til GDPR. Der skelnes mellem almindelige persondata, personhenførbare data og følsomme persondata.
Almindelige persondata er for eksempel: navn, adresse, emailadresse, CPR nummer, information om sociale problemer, familieforhold, økonomi, uddannelses- og arbejdsforhold, samt strafbare forhold.
Personhenførbare data kan for eksempel være en IP adresse, et kreditkortnummer eller et studienummer.
Følsomme persondata er: Etnicitet, religion, politik, fagforening, seksuel orientering, helbred, genetik/biometri.
Almindelige persondata kan godt være fortrolige (fx CPR nummer) og de skal benyttes og opbevares med omtanke. Almindelige persondata kan benyttes til identitetstyveri og det kan have store konsekvenser for den registrerede, hvis oplysningerne misbruges.
Følsomme personoplysninger er en kategori af oplysninger, som skal opbevares og anvendes med skærpet sikkerhed og som det kun er lovligt at anvende under særligt angivne omstændigheder specificeret i lovgivningen.
Tip 3: Konsekvensanalyse
En konsekvensanalyse skal belyse konsekvenserne for den registrerede person, såfremt data misbruges. Det er altså ikke en analyse af konsekvensen for virksomheden. Hvis man indsamler følsomme persondata, eller hvis man indsamler generelle persondata i stort omfang, har man pligt til at lave og vedligeholde en konsekvensanalyse for disse data. Manglende nødvendig konsekvensanalyse kan udløse bøder.
Mulige overvejelser i en konsekvensanalyse kan være:
- risiko for identitetstyveri
- risiko for diskrimination eller forskelsbehandling
Hvis der er potentielt alvorlige konsekvenser for den registrerede i de udformede konsekvensanalyser, skal databehandlingen foregå under særligt sikre forhold der minimerer risici for at data lækkes.
Tip 4: Beredskabsplan for organisationen
Udform en beredskabsplan, så alle ved præcist hvad der skal ske i tilfælde af en sikkerhedsbrist eller datalæk. En beredskabsplan skal være tilgængelig for medarbejdere, så den kan tages frem, hvis det bliver nødvendigt.
Ved en sikkerhedsbrist skal en potentiel datalæk lukkes hurtigst muligt. Desuden vurderes omfang og konsekvens af en potentiel læk, i forhold til om sagen skal indberettes til Datatilsynet. Læg en plan for genetablering af systemer og data (recovery). Den dataansvarlige skal indberette en datalæk til Datatilsynet inden for maksimalt 72 timer, og der skal tages kontakt til evt. berørte personer.
Tip 5: Behandlingsfortegnelse
Behandlingsfortegnelsen skal altid kunne vises frem på forlangende for at dokumentere, hvordan persondata håndteres. Der skal som regel laves en behandlingsfortegnelse for hvert system der indeholder data. I behandlingsfortegnelsen beskrives:
- Formål med databehandlingen
- Behandlingshjemmel
- Kategori af registrerede personer og antal (fx ansatte, kunder)
- Typer af persondata, og hvorvidt data overført til tredjepart
- Hvor længe data opbevares og hvordan de slettes
- Hvilke aktiver/maskinel der anvendes til databehandling
- Hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der er truffet. Det kan f.eks. være adgang til data, hvorvidt medarbejdere må arbejde med data hjemmefra osv.
- Behandlingsfortegnelsen skal opdateres løbende
Tip 6: Implementering i din virksomhed
De nye procedurer og foranstaltninger forankres i virksomheden. Hos Magenta har vi gjort følgende tiltag.
- Italesætte og skabe en åbenhedskultur. Vi ved, at mennesker begår fejl, og det er umuligt at undgå, selv om man har stramme sikkerhedsregler. En åbenhed om fejl giver mulighed for korrekt og rettidig fejlhåndtering, hvilket kan medvirke til at minimere konsekvenser af fx et datalæk.
- Der laves en komplet oversigt over virksomhedens mødestruktur (medarbejdermøder, møder i bestemte foraer) og en plan for videndeling udarbejdes. Datasikkerhed, GDPR og vigtigheden af åbenhedskultur og samarbejde er løbende på dagsordenen på virksomhedens møder for at sikre at alle løbende informeres og at viden forankres.
- Vores leverancemodel indeholder GDPR i projektopstart af nye projekter. Der arbejdes med Privacy by Design, hvor dataklassifikation og konsekvensanalyser er afgørende for, hvordan man designer nye systemer.
Denne tutorial: “6 tips til GDPR i din mindre og mellemstore virksomhed (SMV)” er en del af Magentas tutorial- og indlægsarkiv – læs mere her.