Hvorfor er GDPR så vigtigt?

GDPR handler kort og godt om at beskytte dig og dine rettigheder. 

Det handler eksempelvis om, at du får den rigtige løn, på den rigtige konto, på det rigtige tidspunkt. 

I takt med at verden bliver mere og mere digitaliseret, øges mængden af data der genereres, massivt. De data der siger noget om enkeltpersoner kaldes ‘persondata’. Det kunne eksempelvis være oplysninger om; hvilken bank du har, hvilken konto du gerne vil modtage din løn på, hvad du får i løn og hvornår du normalt modtager din løn. 

Hvis den form for oplysninger kompromitteres, ved at de eksempelvis kommer til uvedkommendes kendskab eller bliver ændret, kan det have negative konsekvenser for dig som person. 

Og det er hér GDPR kommer i spil!

GDPR stiller nemlig krav om, at alle organisationer, der håndterer andre menneskers data, skal gøre det forsvarligt.

Læs videre og bliv klogere på de konkrete GDPR-krav. 

Loven

Man skal naturligvis overholde loven

Ansvaret

Tag ansvar for andre folks data

Omdømmet

Styrk konkurrenceevnen og øg værdien af din virksomhed

Bøderne

Mindsk risikoen for bøder på op til 4% af den globale omsætning

Hvad skal dokumenteres

Lovpligtige behandlingsfortegnelser

En behandlingsfortegnelse skal omfatte al behandlingsaktivitet – altså alle de arbejdsgange, hvor virksomheden behandler personoplysninger som eks. Almindelige kontaktoplysninger, CPR, IP-adresser osv.

Der er en række elementer denne fortegnelse skal indeholde, blandt andet: 

  • Hvem organisationens kontaktperson er og dennes kontaktoplysninger 
  • Formålet med behandlingen (hvorfor behandler I oplysningerne?)
  • Typer af personoplysninger. Såsom: helbred, særlige oplysninger, almindelige oplysninger, navn osv.
  • Modtagere – nuværende og fremtidige. Altså, hvem der behandler oplysningerne. 
  • Der skal være oplysninger om, hvorvidt der sker tredjelandsoverførsler. Her skal I have et overblik over, hvilke værktøjer i bruger, da der kan ske tredjelandsoverførsler ved anvendelse af systemer, hvor data sendes eller opbevares i lande uden for EU/EØS.  
  • I skal oplyse om I videregiver personoplysninger til andre eksempelvis offentlige myndigheder
  • En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger – hvis muligt. Læs mere om dette nede i afsnittet ’sikkerhedstiltag’.
  • Oplysninger om hvornår I sletter oplysninger. Har du styr på, hvor længe du må opbevare data? 

En privatlivspolitik er et dokument, der klart beskriver, hvilke persondata du indsamler fra dine brugere, hvorfor du gør det, og hvem man evt. videregiver personoplysninger til, og hvor længe man opbevarer oplysningerne. Formålet med en sådan privatlivspolitik er at oplyse dine brugere om, hvordan deres data bliver behandlet. 

Her er nogle af de vigtige punkter, der skal inkluderes i en privatlivspolitik for at efterleve oplysningspligten: 

  1. Identitet på den dataansvarlige og kontaktoplysninger. 
  2. Formål med behandlingen. 
  3. Behandlingsgrundlaget, samtykke, retligt forpligtiget osv.
  4. Hvor længe opbevares personoplysningerne.
  5. Kontaktoplysninger på en i virksomheden som kan kontaktes hvis man vil vide mere om hvordan personoplysningerne behandles.
  6. Videregives oplysningerne til andre og til hvem
  7. Kontaktoplysninger for en eventuel databeskyttelsesrådgiver. 
  8. Information om rettigheder. 
  9. Klagemuligheder til Datatilsynet.

Husk, at en privatlivspolitik ikke kun er lovpligtig, men også et vigtigt redskab til at opbygge tillid hos dine brugere og sikre, at du overholder gældende databeskyttelsesregler. 

Som kunde hos os, får du tilsendt skabeloner, så du får udfyldt dine privatlivspolitikker korrekt. 

Et cookiebanner er en pop-up på din hjemmeside, der fortæller dine besøgende, at du bruger cookies. Det vil med andre ord sige, at din hjemmeside indhenter oplysninger om dine besøgende. Det kan være alt fra din besøgendes favorit produkt til personlige identificerbare oplysninger (IP-adresse, placering, bruger-ID osv.). Du kan ved hjælp af cookies spore den besøgendes adfærd  på din hjemmeside. 

Hvis du bruger cookies, så skal du indhente samtykke. Dette gøres nemmest med et cookiebanner, hvor du spørger dine brugere, om de accepterer dine cookies før de bruger din side.

En databehandleraftale er en skriftlig aftale mellem to virksomheder (den dataansvarlige og databehandleren), der beskriver, hvordan databehandleren efter instruks må behandle data for den dataansvarlige.

Databehandleraftalen skal indeholde oplysninger om følgende:

  • Hvilke data, der behandles.
  • Formål med hvorfor I behandler persondata. Dette sikrer at begge parter er enige om, hvad der forventes.
  • Beskyttelse af data: Aftalen skal angive, hvordan dataene skal beskyttes. Dette inkluderer sikkerhedsforanstaltninger, som databehandleren skal tage for at beskytte dataene mod uautoriseret adgang eller lækager.
  • Instruktioner fra den dataansvarlige (altså din organisation): Databehandleren må kun behandle personoplysninger efter den dataansvarliges instruks. Det er vigtigt at få vendt, hvordan behandlingen skal udføres i overensstemmelse med den dataansvarliges ønsker.
  • Varighed og opsigelse: Aftalen skal angive, hvor længe databehandleren skal behandle dataene, og hvordan aftalen kan opsiges.
  • Tilsyn og rapportering: Den dataansvarlige skal føre tilsyn med, at databehandleren efterlever aftalen. Dette kan gøres ved at kræve uafhængige tilsynsrapporter eller selv gennemføre tilsynet.
  • Håndtering af databrud: Aftalen bør også beskrive, hvordan man håndterer situationer, hvor der opstår et databrud.

 

En databehandler kan blandt andet være: 

  • Softwareleverandør 
  • Hostingudbydere 
  • Marketingbureauer 
  • Rekrutteringsbureauer

Aftaler om fælles dataansvar opstår, når to eller flere parter deler ansvaret for behandling af personoplysninger. Dette kan ske, når parterne i fællesskab bestemmer formålet og metoderne for behandlingen. 

For at regulere dette fælles ansvar skal der udarbejdes en aftale, der klart fastlægger de respektive ansvarsområder for overholdelse af GDPR. 

Din organisation skal have nedskrevet en proces for, hvordan I håndterer et databrud. Et databrud kan være en alvorlig situation, der kræver hurtig og omhyggelig håndtering, og det er derfor vigtigt at være godt forberedt. 

Et kort overblik er: 

  • Skab overblik over databruddet 
  • Dokumenter databruddet 
  • Anmeld databrud til Datatilsynet 
  • Underret de berørte

I skal have nedskrevet processer for, hvordan I vil vurdere, hvilke negative konsekvenser en behandling kan have. En konsekvensanalyse er altså en analyse af de potentielle konsekvenser for beskyttelsen af personoplysninger i forbindelse med planlagte behandlingsaktiviteter. 

Det er som dataansvarlig (du er dataansvarlig det sekund, du har ansvaret for håndteringen af personoplysninger) vigtigt at vurdere, hvilke negative konsekvenser behandlingen kan have. 

Formålet med konsekvensanalysen er at identificere og håndtere risici for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger. 

Man skal som dataansvarlig have taget stilling til, hvilke procedurer der skal følges, når personoplysninger skal slettes. 

Personoplysninger må ifølge databeskyttelsesforordningens artikel 5, stk. 1 litra e kun opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles. Altså når personoplysningerne ikke længere er nødvendige, så skal de som udgangspunkt slettes eller anonymiseres. 

Dette skal der være en proces for, så I får slettet oplysningerne inden for de nedskrevne frister, og så det er bestemt på forhånd, hvem der er ansvarlig for sletningen. Det er vigtigt at fristerne i privatlivspolitikkerne stemmer overens med virkeligheden.

Derudover fremgår det af databeskyttelsesforordningens artikel 17, hvis folk udefra, ansatte eller lign. anmoder om at få deres personoplysninger slettet, så har denne ret til dette i de langt fleste tilfælde.

Der findes ikke krav om, at den dataansvarlige skal dokumentere de anmodninger, man måtte have modtaget jf. artikel 17. Nogle dataansvarlige vælger dog, med baggrund i princippet om ansvarlighed jf. artikel 5, stk. 2, at føre en log over modtagne anmodninger efter retten til at blive glemt, med oplysninger om udfaldet og evt. datoen for den udførte sletning. 

Hvad I bør dokumentere

Systemoverblik

Et systemoverblik er en visuel præsentation, der giver et overblik over de systemer, der understøtter arbejdsprocesserne inden for et projekt eller en løsning. I dette tilfælde er det et system, som visualiserer din organisations processer, når det kommer til GDPR. Dette så du har et overblik, der gør arbejdet med GDPR nemmere og mere håndterbart. 

Et eksempel på et system er vores DPO Advisor, som du kan læse meget mere om længere nede på siden. 

Sikkerhedstiltag i forbindelse med GDPR inkluderer blandt andet: 

  • Adgangsstyring: Kontrol og begrænsning af adgangen til personoplysninger. 
  • Netværksikkerhed: Beskyttelse mod uautoriseret adgang og angreb 
  • Beskyttelse mod malware: Forebyggelse af skadelig software 
  • Overvågning og logning: Registrering af aktiviteter relateret til personoplysninger 
  • Backup: Regelmæssig sikkerhedskopiering af data
  • Beredskabsplanlægning: Hvordan virksomheden håndterer sikkerhedsbrud og krænkelser af personoplysninger 
  • Leverandørstyring: Sikkerhedsforanstaltninger for leverandører, der behandler personoplysninger på vegne af virksomheden

Et tredjeland defineres her som, når man overfører personoplysninger til lande eller internationale organisationer uden for EU/EØS. 

Det er ikke alle, der er underlagt GDPR og det er derfor vigtigt, hvis du overfører personoplysninger til et tredjeland, at du vurderer, hvordan de håndterer oplysningerne. 

Arbejdet med databeskyttelse gennem design og standardindstillinger er en vigtig del af GDPR. 

Databeskyttelse gennem design: 

Dette er at man allerede i udviklingsfasen af IT-systemer og tjenester skal tage højde for beskyttelse af personoplysninger. Det betyder, at der skal integreres sikkerhedsforanstaltninger og beskyttelsesmekanismer direkte i designet af systemet. Formålet er at minimere risikoen for databrud og sikre, at personoplysninger behandles sikkert fra start. 

Databeskyttelse gennem standardindstillinger: 

Dette handler om at dit IT-system som standard skal kunne beskytte personoplysninger. Dvs. at standardindstillingerne i systemet, skal være så privatlivsvenlige som muligt. Brugere skal derfor aktivt kunne vælge mere åbne indstillinger, såfremt de ønsker det. 

Dette handler om tillid og troværdighed til, at det it-system du bruger, beskytter menneskets personoplysninger. 

Vores system DPO Advisor, som er et system, der samler alle dine GDPR-processer, er selvfølgelig udarbejdet med højest mulig sikkerhed for brugerne. 

Du skal lave en risikovurdering af din behandling af persondata. 

Et af formålene med GDPR er, at du skal behandle personoplysninger sikkert. For at afgøre hvordan, at du behandler personoplysninger tilstrækkelig sikkert, så skal du kende risici for at persondata kompromitteres. Risici i din virksomhed er forskellig fra risici i andre virksomheder. 

Derfor skal du lave en risikovurdering af netop dine behandlinger af personoplysninger. 

Med en risikovurdering afdækker du risiciene for de personer, som din virksomhed behandler oplysninger omkring, så du kan indføre foranstaltninger til at begrænse disse risici.

Artikel 9-oplysninger er en særlig form for kategori af personoplysninger. Det er de personoplysninger, der handler om; race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, helbredsoplysninger, seksuel orientering og lignende. 

I visse tilfælde er det nødvendigt for en organisation, institution eller lignende at have adgang til disse oplysninger men det kan være en god idé, at indhente samtykke fra den registrerede om, at man håndterer netop disse type af oplysninger. Hvis man er retlig forpligtet til at behandle denne type af personoplysninger, så vil der ikke kræves samtykke.

Det er en god idé at nedskrive en proces for, hvad I gør, hvis Datatilsynet en dag kommer forbi. Dette kan ofte være en stressfuld proces, og det er derfor smart at være på forkant og få skrevet ned, hvem der har ansvaret, og hvad I skal gøre. 

Datatilsynet kan b.la. finde på at spørge, om de må se en bestemt behandlingsfortegnelse.

Et årshjul er en visuel præsentation af et års aktiviteter, der er organiseret i forskellige tidsperioder. Et årshjul er et effektivt planlægningværktøj, som kan give et godt overblik. 

For at du (eller den dataansvarlige) ikke glemmer at opdatere jeres GDPR-processer, kan det være en god idé at have et årshjul. Årshjulet hjælper dig med at huske, hvornår det er tid til at gennemgå dine processer, så din organisation eller institution forbliver compliant. 

Årshjulet kan b.la. indeholde:

  • Tjek databehandleraftale
  • Slette jobansøgninger
  • Ajourfør juridiske forpligtigelser
  • Opdater privatlivspolitikker

Bliv klogere;

6 spørgsmål om GDPR

At være compliant betyder, at din organisation har fastlagt nogle procedurer og retningslinjer for, hvordan de skal leve op til regler og lovkrav inden for GDPR. Der kommer dog ofte nye krav fra Datatilsynet, og derfor er det vigtigt ikke at se på compliance som en fast tilstand, men som noget din organisation hele tiden skal arbejde hen imod og tage stilling til.

Følsomme personoplysninger er oplysninger, der eksempelvis kan medføre diskrimination, hvis de bliver behandlet ulovligt. Det kan blandt andet være oplysninger om seksualitet, race, fagforening, helbred og politisk overbevisning.

I udgangspunktet er alle underlagt GDPR. Det gælder organisationer uanset størrelse, og i nogle tilfælde kan reglerne også omfatte privatpersoner. GDPR skal skabe tillid til den videre digitalisering ved at beskytte de involveredes personoplysninger.

Du må gemme data så længe, du kan forsvare, at det tjener et legitimt formål og er nødvendigt. Det kan for eksempel være arbejdsskadesager på medarbejdere, der efterfølgende er stoppet.

Et samtykke gælder så længe, det ikke er blevet trukket tilbage og aktivt bliver brugt. Derfor kan en organisation for eksempel ikke sende et nyhedsbrev ud 20 år efter, der er blevet givet samtykke, hvis organisationen ikke har brugt samtykket løbende.

Du skal have en databehandleraftale med de leverandører, der skal behandle personoplysninger for dig, og hvor du har fastsat formålet for behandlingen.

Vores software, der gør din hverdag nemmere

Kom nemt i mål med GDPR

Saml alle dine GDPR-aktiviteter ét sted. 

Vi ved, GDPR kan være en svær ven. Derfor har vi lavet it-systemet: DPO Advisor, hvor du hverken behøver at være jurist, DPO eller fagspecialist for at komme i mål og opnå compliance. 

DPO Advisor er indrettet som en interaktiv guide, der gennem spørgsmål og svar dokumenterer din behandling af personoplysninger. Du starter derfor ikke helt fra nul, da vi har lavet en del af arbejdet for dig. 

Du bruger systemet ved at besvare relevante spørgsmål, der sikrer, du lever op til databeskyttelsesforordnings dokumentationskrav. 

Hvad får jeg med?

Hvad siger vores kunder?

Læs flere af vores cases her. 

Vælg den mest egnede plan til din virksomhed

DPO Advisor kan erhverves for en lav årlig licens fra 2.999,- ekskl. moms 

<5
ansatte

2.999,-

6-10
ansatte

4.999,-

11-20
ansatte

6.999,-

21-50
ansatte

9.999,-

50+
ansatte

Få et tilbud

Vær opmærksom på at priserne er eksklusiv moms

Vi har gjort din hverdag nemmere med GDPR-skabeloner

Med Legal IT’s GDPR-værktøj er det let at komme hurtigt i gang – og overkommeligt at komme i mål. Systemet har præudfyldte svar til spørgsmål, som gør at du ikke skal starte helt fra 0.  Desuden indeholder Legal IT’s GDPR-værktøj en lang række GDPR-skabeloner med en GDPR-skabelon til stort set ethvert behov. 

Godt begyndt er halvt færdigt

Det er vigtigt for os, at du kommer godt i gang med at bruge systemet, for med DPO Advisor er godt begyndt halvt færdigt. Derfor afholder vi gratis “Kom i gang”-møder, som fokuserer på brugen af DPO Advisor, og hvordan man bedst kommer i gang med systemet. Du vil blive guidet skridt for skridt igennem, hvordan du sletter data, opretter en en aktivitet, downloader din dokumentation og meget mere.

Mødet ligger fast den sidste torsdag i måneden fra 10:00-11:00, og det henvender sig primært til nye brugere af DPO Advisor, men alle er selvfølgelig velkomne.

Ses vi til næste

"Kom i gang"-møde?

Rådgivning

Vi hjælper med stort og småt inden for GDPR

Vil du gerne have sparring, tjekket om dine databehandlere lever op til jeres databehandleraftaler eller kvalitetssikret dit arbejde? Vi tilbuder mange forskellige former for konsulenthjælp. Så uanset om du er jurist, DPO eller almindelig dødelig, så har vi en løsning, der passer til dit behov. 

Den populære

Vores absolutte favorit blandt vores kunder er en kombination af vores system og workshops.

Disse workshops kan skræddersyes efter dine behov, så du enten kan køre et intenst forløb eller tage det lidt hen ad gangen.

På den måde, får du hjælp med GDPR, får udfyldt systemet og så er du godt på vej til at blive compliant.

Vores løsninger

Både som jurist og almindelig dødelig kan det være rart at få et par eksterne øjne på ens privatlivspolitikker, samtykkeerklæringer, fortegnelser osv. Med databeskyttelsesforordningen i hånden står vores GDPR-konsulenter klar til at kvalitetsikre dit arbejde og bidrage med juridisk sparring.

Det kan være svært at vide, om dine databehandlere lever op til jeres databehandleraftaler. Vi tilbyder derfor at lave tilsyn med dine databehandlere, så du er sikker på, de lever op til de juridiske formuleringer og den praktiske håndtering af sikkerhed og registreredes rettigheder.

Er du den eneste, der sidder med GDPR-håndteringen i din organisation, og savner du at have en fast sparringspartner med viden og kompetencer inden for GDPR? Vi tilbyder forskellige sparringsordninger, hvor du mere eller mindre får en online kollega, der står klar til at give sit besyv med. Sparringsordningerne bliver tilpasset dit behov, så uanset om du har behov for at snakke én gang om måneden, ugen eller dagen, så finder vi en løsning, der passer til dig.

Vil du gerne slippe for besværet, så kan du hyre en af vores GDPR-eksperter ind som fast Data Protection Officer (DPO) i jeres organisation. I slipper for besværet, og vi sørger for, I kommer sikkert i mål og lever op til alle lovkravene.

Priser fra 10.000 kr. om måneden eksklusivt moms.

Syntes du det er svært, at sidde med vores system helt alene? 

Hvis ja, så kan det godt være en god idé at booke en workshop. En workshop er idéel til, hvis I har brug for konkret sparring og juridisk afklaring på dagen. Når vi afholder en workshop, er det helt på dine præmisser. Derfor har vi gjort det muligt, at du enten kan få en konsulent fysisk ud og hjælpe med systemet og specifikke problemstillinger. 

Eller kan vi afholde det online, hvor vi tager et par timer ad gangen. Det er helt op til dig. 

Uanset hvor meget sikkerhed, I har i jeres organisation, vil der altid være risici forbundet med behandling af personoplysninger. Vil du gerne have hjælp til at kortlægge jeres risici, så kan du booke en workshop med fokus på risikovurdering.

Vi foretager risikovurderingen i fællesskab, og undervejs bidrager vi med konkret sparring og rådgivning.

Kom godt i gang

Ræk ud og lad vores eksperter hjælpe dig med dine spørgsmål.




    På udkig efter support?

    Hvis du oplever tekniske problemer, så skriv til vores support.