Bliv klar til EUs store persondataforordning – GDPR

EUs store persondataforordning GDPR (The General Data Protection Regulation) indeholder nye regler som indebærer ændringer for virksomheder som besidder og behandler personoplysninger. Efter indførslen 25. maj 2018, vil der være flere detaljerede og omfattende regler end tidligere. Er du ikke påbegyndt arbejdet med GDPR tilpasningerne endnu, er det på tide at komme i gang!

Persondataforordning GDPR | Nye ændringer

Den nye persondataforordning GDPR viderefører mange af principperne og regler fra gældende lovværk, men indeholder også en del nye regler som indebærer ændringer for virksomheder som besidder og behandler personoplysninger. Efter regel ændringen træder i kraft vil der blive flere detaljerede og omfattende regler end tidligere. Dette vil kræve nye rutiner,  ny struktur og kortlægning af hvordan persondata skal besiddes og behandles.

 

Efter den 25. maj har alle personer ret til at kræve at du som virksomhed viser, sletter eller overfører alle personoplysninger som er arkiveret/gemt. Nogle af de vigtigste ændringer er kravet om informeret og aktivt samtykke. Der skelnes ikke imellem private, offentlige eller erhvervsmæssige roller.

 

Overordnet indebærer GDPR:

  • Strengere betingelser for at indhente samtykke for lagring og behandling af persondata (Krav til governance og procesdokumentation – herunder kontrol og opfølgning).

 

  • Personer vil kunne kræve at alle informationer bliver overført til anden virksomhed (i den grad det kan lade sig gøre) eller at denne blive fjernet.

 

  • Alle skal have opbygget “privatlivets fred” i nye løsninger.

 

  • Krav om underretning til Datatilsynet inden for max 72 timer efter en eventuel datalækage.

 

  • Overtrædelse af GDPR kan straffes med bødestraf på op til 4% af den globale omsætning eller op til 20 mio. euro.

 

Kort og godt skal man som dataansvarlig kunne dokumentere, hvordan man opbevarer data og man skal kunne, hvad man anvender data til.

 


 

Persondataforordning GDPRs krav til ERP systemet

Overordnet så stiller GDPR krav inden for 3 områder:

 

1. Personligt / “privatliv” 

Personer har ret til følgende vedrørende de data, som du gemmer om dem:

  • At have adgang til data
  • At rette fejl i de persondata
  • At slette deres data
  • At gøre indsigelse mod behandling af deres persondata
  • At eksportere deres persondata

 

Det er ikke nødvendigvis simpelt. Det er en udvidet og selvbetjent aktindsigt. Hvis det skal foregå 100% selvbetjent, så har du behov for en ”kundeportal”, hvor alle kan logge ind for at se, ændre, slette og eksportere data, eller klage.

 

2 . Kontrol og advisering
Virksomheder skal:

  • Beskytte persondata med passende sikkerhedsforanstaltninger
  • Advisere myndighederne ved brud på sikkerheden
  • Indhente passende samtykke til at behandle data
  • Have sporbarhed i databehandlingen

 

Her bringer ERP-systemerne dig et godt stykke vej. Microsoft gør meget ud af sikkerheden i deres systemer, og Microsoft forpligter sig kontraktligt til at leve op til lovgivningen.

 

Men det stiller også krav til dine processer. Du skal kunne dokumentere, hvordan og hvornår du har modtaget eksplicit samtykke til at behandle data, og du skal have styr på, om (eller hvordan) ERP-data flyder ud af ERP-systemet.

 

Det er heller ikke nok at have processer på plads. Du er nødt til at overvåge processerne. Ellers kan du ikke advisere myndighederne om brud på sikkerheden. Man kan jo kun opdage noget, man holder øje med.

 

3. Politikker for transparens
Virksomheder skal:

  • Give personen en eksplicit notifikation om indsamling af data
  • Beskrive formål med databehandlingen inkl. use cases
  • Kommunikere en politik for hvornår data gemmes og slettes

 

Du skal grundlæggende sige til alle personer PRÆCIS hvad du har tænkt dig at gøre med deres data. Alt skal være helt transparent.

 

Dette er udelukkende et procedure-spørgsmål, men det er ikke simpelt. Alle ad-hoc opgaver i din virksomhed, hvor du lige har brug for at inkludere kundedata – det er grundlæggende slut nu.

 

Det bedste du kan gøre er at samle data i et Business Intelligence-værktøj, som kan opfylde de ad-hoc behov der kommer hen ad vejen, og så kan du bygge dine politikker for transparens op om, at data inkluderes i Business Intelligence-platformen.

 

Dine opgaver med GDPR

Når du skal i gang med GDPR, så har du overordnet følgende opgaver:

 

  • Formulere en overordnet datapolitik og definere arbejdsprocesser
  • Sikre at IT-systemer lever op til sikkerhed og processer
  • Etablere adgang for personer til egne data
  • Uddanne medarbejdere der har adgang til persondata
  • Ansætte en Data Protection Officer hvis påkrævet
  • Udarbejde politikker for transparens, kontrakter og betingelser for samtykke
  • Overvåge overholdelse af datapolitikker og advisere myndigheder om brud
  • Revidere og opdatere datapolitikker

 


 

Der findes forskellige IT systemer som understøtter GDPR, afhængig af hvilken forretningsløsning du har:

 

 

 

 

Nyttige links:

 

 

 

Se også videoen «Forstå GDPR og muligheder med Microsoft 365»

 

 

Har du spørgsmål omkring GDPR som gælder din virksomhed? Kontakt os på care@axdata.no eller ring på +45 7020 7505 så hjælper vi dig.