Sådan Sikrer Du, At Din Virksomhed Overholder GDPR

Anders Bryde Thornild
By: Anders Bryde Thornild GDPR | 14 januar

 


Hvad er GDPR? 

I maj 2018 indtrådte EU’s databeskyttelsesforordning (GDPR). Det er et juridisk ramme, som sætter retningslinjer for, hvordan man skal indsamle og behandle persondata. Målet er at beskytte forbrugernes rettigheder ved at sikre, at hjemmesider, offentlige institutioner og virksomheder følger et sæt regler, når de behandler information om private individer.

Der er ikke én nem plug and play løsning for at overholde GDPR. Næsten alle organisationer behandler en eller anden form for data, og mange medarbejdere behandler persondata på en daglig basis. Det er derfor vigtigt at have et klart sæt retningslinjer og sikre, at alle ved, hvad de skal gøre. Her er en liste af ting, der sikrer at din virksomhed er på det rigtige spor. Alle virksomheder er dog unikke, og der er ikke en rigtig måde at gøre tingene på. Hvis din virksomhed ikke følger GDPR kan det resultere i store bøder – maksimum beløbet på en bøde er 20 millioner €, eller 4% af din virksomheds årlige globale indtægt.

Indholdsfortegnelse

 

Din virksomhed skal kende til GDPR reglerne 

Det første skridt til at overholde GDPR er at sikre, at en person i din virksomhed forstår hvad GDPR handler om. GDPR er bygget på 7 principper, som kan blive brugt som et fundament til at forstå, hvorfor og hvordan persondata skal behandles. Principperne viser grundideen bag GDPR og introducerer også nogle af de metoder, som kan hjælpe dig i dine daglige opgaver, så som dataminimering.

Principperne understreger også vigtigheden af at have juridisk grundlag for at behandle persondata, hvilket betyder at du skal have en gyldig grund til at behandle folks persondata. Et eksempel på en gyldig grund kan være det samtykke af cookie-håndtering, som du ofte ser på hjemmesider. 

Forståelse af GDPR's principper er det første skridt til at arbejde aktivt med GDPR.


7 GDPR Principles - Infographic

Sørg for at du ved, hvem der er ansvarlig – Det kunne være en DPO 

Det kan være udfordrende at arbejde med GDPR, hvis ikke der er en person eller et hold, som er ansvarlig for arbejdet, og at organisationen overholdet forordningen.

Selvom det er alle dine kollegaer, der håndterer persondata dag til dag, så er er det stadig vigtigt at have noge,n som er ansvarlig for at sikre, at alle ved hvad de skal gøre, og at denne person, er den man skal gå til, hvis man er i tvivl. Ansvaret kan fordeles på mange måder. Det kan være et lille hold, der får ansvaret. I små virksomheder ser man ofte, at det er en af lederne, der får ansvaret. Det kan også være en databeskyttelsesrådgiver (DPO), som får ansvaret, selvom deres officielle rolle kun er at rådgive.

Der er ikke en one size fits all løsning, da det kommer an på den organisatoriske struktur i din virksomhed. Det kan måske være lidt overdrevet at have en designeret DPO i en lille start-up. Men der er også en mulighed for at det kan være uklart, hvem der skal gøre hvad, hvis ansvaret er delt af for mange personer. Det er også muligt at outsource rollen til et eksternt firma.

Pointen er, at alle skal være enige om, hvem der tager styrelsen når det kommer til GDPR og dine medarbejdere ved, hvem de skal spørge, når de har spørgsmål.

 

Billede af Risiko-analyse skabelon

Dit hold skal vide, hvordan man behandler persondata 

At vide, hvem der er ansvarlig for GDPR-arbejdet i din virksomhed, er ikke nok af sig selv, da alle dine medarbejdere individuelt behandler persondata i en eller anden grad. Derfor er det vigtigt, at alle i organisationen har grundlæggende viden om, hvordan persondata skal behandles. Alle skal ikke være eksperter, men alle dine kollegaer skal have en forståelse af, hvad persondata er, og hvordan det skal behandles. Nedenfor er der nogle eksempler på ting, som dine kollegaer burde vide. 

  • Hvad persondata er 
  • Hvad følsomme personoplysninger er 
  • Om de har juridisk grundlag for behandling af persondata i ens normale arbejdssituationer
  • Hvordan de forskellige typer af persondata skal behandles 
  • Hvad deskal gøre, hvis de spotter et datalæk/databrud 
  • Hvem de skal spørge, hvis de er i tvivl. 

Der er mange måder at øge awareness og undervise dine kollegaer i GDPR. Seminarer, kurser og awareness-træning er alle gode måder at sikre, at alle har en stærk forståelse af, hvad sikker databehandling er. De forskellige metoders effektivitet kan altid diskuteres, det vigtigste er dog, at man kommer igang med træningen, da "fejl" blandt medarbejdere er en af de største årsager til databrud.

De 8 grundlæggende GDPR-rettigheder for Datasubjekter (brugeren)

GDPR vil sikre, at vi lever op til de rettigheder som datasubjekter har. Her er en kort beskrivelse af de 8 rettigheder, som hvert individ har. 

1. Retten til indsigt

Du har rettigheden til at anmode om adgang til den persondata, som en virksomhed eller organisation har om dig. Du har også ret til at vide, hvordan denne data bruges 

2. Retten til at blive glemt 

Du kan kræve, at din persondata bliver slettet, hvis du ikke længere giver samtykke eller ikke længere er kunde

3. Retten til dataportabilitet 

Du har i nogle tilfælde ret til at få overført dine persoplysninger fra en dataansvarlig til en anden ansvarlig

4. Retten til at blive informeret 

Du har ret til at blive informeret om data, der bliver indsamlet om dig fra virksomheder, organisationer og myndigheder 

5. Retten til at få information rettet

Du har ret til at få ukorrekte og forkerte oplysninger om dig rettet

6. Retten til at begrænse behandling 

Du har ret til at begrænse behandlingen af dine personoplysninger, hvis nogle betingelser er opfyldte. Det betyder, at virksomheder kun må bruge din data til visse formål, men ikke alle 

7. Retten til indsigelse

Du har ret til at sige fra overfor ellers lovlig behandling af personoplysninger. I såfald må organisationer ikke behandle oplysninger om dig uden eksplicit samtykke

8. Retten til at blive notificeret 

Hvis et databrud kan resultere i en høj risiko for brugeren (dig), har du ret til at blive notificeret med det samme

 

Skab klare retningslinjer for at sikre at GDPR-reglerne følges 

Vigtigheden af at placere ansvar og undervise dit hold i GDPR er afgørende og skal gøres hurtigst muligt. Derudover kan du hjælpe din organisation, ved at skabe klare retningslinjer, når det kommer til databehandling.

Gode retningslinjer er noget, som dine kollegaer nemt kan tilgå, hvis de står i en situation, hvor de er usikre de er usikre. Ved at have et sæt klare retningslinjer, sikrer du at processer og regler om datasikkerhed er strømlinede igennem hele din organisation. Resultatet er, at din IT-sikkerhed bliver stærkere.

Men hvilke retningslinjer og dokumenter skal du fokuserer på? Herunder kommer jeg med et par bud.

IT-sikkerhedspolitik – Sørg for, at det strukturelle og strategiske er i orden 

Ved at lave en IT-sikkerhedspolitik sikrer du, at din virksomhed har et generelt sat rammen for, hvordan man håndterer IT-sikkerhed. Politikken opsætter mål, og udpeger hvem, der er ansvarlig for at nå disse mål, samt hvem der er ansvarlig for den overordnede IT-sikkerhed. IT-sikkerhedspolitikken er på strategisk niveau, og det sætter tonen for IT-sikkerheden i din organisation.. Du kan checke vores gratis skabelon og guide til, hvordan man laver en IT-sikkerhedspolitik her. 

Retningslinjer for brug af IT – Skab konkrete og praktiske regler og guidelines 

IT-sikkerhedspolitikken fungerer på et strategisk niveau og kan derfor ses som et dokument, der er mest relevant er for ledelsen. Dokumentet, Retningslinjer for brug af it, er derimod mere praktisk og hverdagsrettet.  Det er et dokument, du kan bruge til at definere reglerne i din organisation for brug af IT. Disse regler skal alle medarbejdere følge. Derfor er det vigtigt at huske, at listen af regler ikke må være for lang og kompleks, da dette kan resultere i at medarbejdere slet ikke følger dem, da det virker uoverskueligt. I så fald kan et sæt regler ende med at virke kontraproduktiv.

Retningslinjerne for brug af IT skal være lette at forstå, følge og skal stemme overens med slutmålet om at styrke IT-sikkerheden indenfor din organisation. Vi har en gratis skabelon og guide til, hvordan man laver retningslinjer for brug af IT. 

Hvad er persondata?

Persondata er oplysninger, som kan blive brugt til at identificere en specifik person. Det inkluderer information så som navn, adresse, nummerplade, en jobansøgning, eller et billede af en tatovering. Hvis persondata er kategoriseret som følsom, så kræver GDPR et højere niveau af sikkerhed 

Generel persondata

   - Navn

   - Mobilnummer

   - Fødselsdato

   - Beskæftigelse

   - Adresse

Følsom persondata

   - Race eller etnisk herkomst

   -Politisk eller religiøs overbevisning 

   -Fagforeningsmedlemsskab 

   -Genetisk data / biometrisk data (f.eks. fingeraftryk) 

   -Sundheds information 

   -Seksuelle forhold eller orientering 

Lav en risikoanalyse for at finde ud af næste skridt 

Hvad så nu? 

Det korrekte, men upræcise svar er: It depends. 

Alle virksomheder er forskellige. Det vil derfor være umuligt at sige, hvilke tiltag du skal lave i jeres GDPR-arbejde. Det kommer an på forskellige faktorer som f.eks.: hvilke type data, I behandler, hvilke systemer i bruger, og hvad de potentielle konsekvenser ved et sikkerhedsbrud er.

For at tage et informeret valg for dine næste skridt, kan det være en god idé at udføre en risikoanalyse. En risikoanalyses mål er at give et overblik over de trusler din organisation står overfor.

Analysen har til formål at vise sandsynligheden for trusler, og hvad konsekvenserne af sådanne trusler kan udgøre for din organisation.

Det siger sig selv, at trusler, som der er stor sandsynlighed for og stor konsekvens ved, skal håndteres først. Trusler kan være alt fra dine medarbejdere som trykker på phishing links, til at sende følsomme persondata til nogen, der ikke burde modtage dem. Du kan bruge vores gratis risikoanalyseskabelon til at kortlægge alle dine virksomhedstrusler. 

Vær opmærksomhed på at risikoanalyseprocessen ikke bliver udført på samme måde under ISO-standarderne, som det gør under GDPR. 

Skab en god proces for at arbejde med GDPR med Plan-Do-Check-Act cyklussen 

Som du måske allerede har gættet, så er GDPR ikke en opgave, du bare lige bliver færdig med, men en løbende proces. Du er aldrig helt færdig, da nye udfordringer vil fortsætte med at dukke op gennem tiden. Du kan ikke bare præsentere dit hold med regler og regne med, at de følger dem perfekt fra dag et, og så var den ged barberet. Det er vigtigt, at du har en god proces på plads, som tillader dig at vurdere, evaluere og tilpasse systemer, processer og retningslinjer efter behov. Det vil hjælpe med at gøre din databehandling mere flydende og sikker over tid. 

En måde at gøre dette på er ved at bruge Plan-Do-Check-Act cyklussen (PDCA), som er en iterativ metode, som sikrer at: 

  1. Du skaber et sæt af mål og planlægger, hvordan du når dem
  2. Du følger planen og udfører arbejdet 
  3. Du evaluerer arbejdet for at se, om du har nået dine mål 
  4. Du handler på resultaterne for at sikre, at du bliver ved med at forbedre dig 

Du kan blive certificeret for a vise GDPR-compliance 

En ting er, hvordan du laver tiltag internt i din organisation. Noget andet er, hvordan du agerer overfor kunder og samarbejdspartnere.

Hvis din virksomhed er databehandler (hvis du behandler persondata), så er det vigtigt at huske, at den dataansvarlige skal føre tilsyn hos dig. Det betyder, at du er krævet til at formelt dokumentere, at I behandler persondata i overensstemmelse med GDPR. Det resulterer ofte i, at man skal håndtere mange forespørgsler og svare på et hav af spørgsmål, hvilket kan være tidskrævende. 

Hvis det fortsætter med at være en tidsrøver for dig, så kan det være værd at blive certificeret eller at få en revisionserklæring. Begge kan være måder at vise, at du arbejder aktivt med GDPR-compliance, når det kommer til gode IT-sikkerhed og databehandlings praksisser. Det er måske ikke for alle, og det kan være relativt dyrt at blive certificeret og revideret. Det kræver derudover en masse arbejde. Du bør derfor overveje grundigt, om det er det rigtige for dig.

Flere certificeringer og erklæringer at vælge imellem 

Der er mange certificeringer og standarder, dukan overveje, når det kommer til GDPR og IT-sikkerhed. Nogle er GDPR-specifikke, mens andre som ikke er stadig kan være brugbare. 

Nedenunder er en liste, som du kan overveje, og som vi har set brugt i GDPR-regi: 

  • ISAE 3000 GDPR-erklæring
  • ISO 27701 certificering 
  • ISAE 3402 rapport 
  • ISO 27001 certificering 

De kan alle blive brugt til at vise GDPR overholdelse, men de er ikke ens og har ikke det samme oprindelige formål.

ISAE 3000 er ofte brugt i GDPR 

En måde at bruge revisorerklæringer eller certificeringer i dit GDPR-arbejde, er ved at få en ISAE 3000 revisorerklæring, også kaldet en ISAE 3000 GDPR rapport/erklæring. Dens formål er at adressere, om man lever op til ansvaret om at være en databehandler. Hvis du bliver revideret og modtager en ISAE 3000 erklæring, så kan du vise den til datakontrollører, hvilket vil hjælpe dig med at bevise, at du behandler persondata, som krævet af reglerne. 

ISO 27701 er en ny certificering skabt til GDPR 

I 2019 præsenterede den internationale ISO-organisation en ny standard: ISO 27701. Mange kender ISO 27001, men det er altså ikke den samme - ISO 27001 vil jeg komme ind på i næste afsnit. ISO 27701 er en ny certificering.

Det knap så iøjnefaldende navn for certificeringen er ”Sikkerhedsteknikker – Udvidelse af ISO/IEC 27001 og ISO/27002 til håndtering af privatlivsoplysninger – Krav og retningslinjer” 

Certificeringen handler om, hvorvidt du overholder GDPR eller ej. På papiret, lyder det som en perfekt certificering for alle, men certificeringen er stadig relativ ny, og vi bliver derfor nødt til at se, hvordan den bliver brugt i praksis, før vi gør os klogere på den. Det kunne sagtens ende med, at den bedste praksis, når det kommer til GDPR, bliver en blanding af ISAE 3000-erklæringen og ISO 27701-certificeringen, men vi lærer stadig løbende, og det er for tidligt at sige. 

Du kan blive ISO 27001 certificeret eller ISAE 2402 sikkerhedsrevideret 

Selvom ISAE 3000 er den mest GDPR specifikke rapport og ISO 27701 den mest GDPR specifikke certificering, så kigger mange mod ISAE 3402 og ISO 27001.

ISAE 3402 er en grundig erklæring, som fokuserer på rapportering og finansielle transaktioner. Den bliver ofte brugt til at sikre de daglige operationer, og at leveringer i IT bliver udført på en sikker måde – Og af denne grund kan den blive brugt til GDPR og IT-sikkerhed. ISAE 3402 er baseret på et ISO 27001 framework.

ISO 27001 er en standard, som hjælper virksomheder med at sikre værdifuld persondata. Målet er at skabe stærk IT-sikkerhed. 

Da det her er et rimelig tungt emne, så vil jeg ikke belaste dig med den dybdegående viden her. Det er der også andre, der ved mere om end mig. Du kan i stedet kigge på vores omfattende guide til hvad ISO 27001 og ISAE 3402 er og hvad man skal overveje før man dykker ned i det. 

Studerende sidder på bøger og prøver kurser gratis

ISAE 3000 vs. ISAE 3402 

Okay, men hvad er forskellen mellem de her to, og hvorfor bruger folk begge? Tjoh... Det korte svar er, at ISAE 3000 handler om data, og hvordan man beskytter det, hvilket derfor passer til GDPR. 

ISAE 3402 på den anden side omhandler processerne og de fysiske omstændigheder. Det handler om, at der ikke er downtime på servere, og at der er backups på plads, i tilfælde af, at data bliver slettet. Altså, at der er procedurer til operationer så som backups, logging, strøm osv.

Den kan altså også spille en vigtig rolle i at sikre persondata; til gengæld har den et meget større omfang end blot dette. 

Sikkerhedsbrud sker ofte grundet små hverdagsfejl

Databrud sker en gang imellem. Vi er alle mennesker, og mennesker laver fejl, specielt når vi har travlt eller ikke er bevidste om virkningen af vores handlinger. Statistisk fra Datastilsynet viser, at den største årsag til sikkerhedsbrud er, at e-mails bliver sendt til de forkerte personer.

En umiddelbart lille fejl, men stadigvæk et sikkerhedsbrud, da persondata kunne ende op i de forkerte hænder, når det bliver sendt til forkerte mennesker, som ikke burde behandle eller havde adgang til det under nogen omstændigheder.

Dette understreger vigtigheden af, at kollegaer er opmærksomme på de risici, der er involveret, når de håndterer data, men også. Det viser også, at det er næsten umuligt at undgå små databrud. Et af vores mål som IT-sikkerhedsfirma er at reducere antallet af sikkerhedsbrud forårsaget af medarbejdere, hvilket er derfor vi fokuserer på awareness-træning og phishing-træning. 

Undgå straf og bøder 

Hvis uheldet er ude, og der sker et sikkerhedsbrud i din organisation, så er det med at være hurtig. Her er der nemlig en del procedure og regler, der skal følges. Det første man skal gøre er at dokumentere bruddet og give besked til Datatilsynet. Det skal ske senest 72 timer efter, at man er blevet opmærksom på sikkerhedsbrudet. Hvis du ikke kan give dem besked indenfor 72 timer, så skal du have en gyldig grund.

De fleste sikkerhedsbrud leder ikke til straffe og bøder, så man skal ikke være bange for at række ud til Datatilsynet. Hvis din organisation har de korrekte processer på plads og generelt gør jeres bedste for at beskytte persondata, så har i ikke så meget at bekymre jer om.

Hvis du ikke har taget initiativ til at følge GDPR, og ikke er klar over reglerne om datasikkerhed, så er sagen måske en anden. Så det handler om at komme igang.

Det er svært at svare på, hvor store indsatser GDPR-indsatser man skal tage for at have et tilfredsstillende niveau. Det udvikler sig også over tid, da kravene og forventninger stiger. Datatilsynet er godt klar over, at GDPR stadig er relativt nyt, og vi lærer, imens vi udfører arbejdet. Det er også forskel fra land til land, når det kommer til, hvor hårde de er. Vi må følge de forskellige retssager, for at blive klogere på niveauet. Du kan læse om de forskellige slags databrud, som man får bøde for, hvilket kan hjælpe dig med at sætte niveauet for jeres GDPR-arbejde. Derudover kan du også læse om Danmarks første GDPR bøde, som ILVA fik.

Databeskyttelse er en kontinuerlig proces 

Som allerede nævnt, så er det ikke en simpel opgave at leve op til persondataforordningen. Der er ikke et quick fix til at overholde GDPR. De overstående trin i dette blogpost, skulle gerne hjælpe dig med at komme igang med arbejdet og kortlægge jeres næste skridt i GDPR-eventyret gennem risikovurdeirnger. Det er også vigtigt at forstå at overholdelse af GDPR er en løbende proces, og at udfordringerne er forskellige fra virksomhed til virksomhed. Hvis man prøver at løse alle udfordringerne på en gang, så vil man løbe hovedet mod muren. Så bryd opgaverne op i små steps, så man langsomt, men sikkert bevæger sig fremad uden at drukne i opgaver.

Start med den opgave, som har den største virkning og arbejd videre derfra.

Hold øje med GDPR-kendelser – retningslinjer udviklinger sig konstant

Til sidst vil jeg nævne, at det er vigtigt at holde øje med GDPR-kendelser og nyheder på Datatilsynets hjemmeside. Selvom GDPR har været her siden 2018, så er det stadig en nyt, og feltet udvikler sig konstant, som vi har set med f.eks. Schrems II dommen, hvor det blev vedtaget at Privacy Shield-frameworket ikke længere var et gyldigt grundlag for overførsel af persondata til tredjelande så som USA. Vi måtte vente et helt år på nye anbefalinger om, hvordan man skal overføre persondata til tredje-parts lande. 

Lyder det som hårdt arbejde at følge med alle GDPR-kendelserne?

Bare rolig, vi hjælper dig. Hvis du melder dig til vores nyhedsbrev, så sender dig løbende opdateringer på de mest vigtige GDPR-relaterede nyheder og andre IT-sikkerhedsemner.