GDPR

Kært barn …

GDPR, persondataforordning, databeskyttelsesforordningen, beskyttelse af persondata – kært barn har mange navne. For mange virksomheder er det dog ikke nogen kærkommen opgave at få et overblik over det nye regelsæt og sikre, at virksomhedens håndtering af personoplysninger lever op til de nye regler, der fik virkning den 25. maj 2018.

Meget i forordningen er ikke nyt men er regler, som vi har skulle efterleve længe. Der har dog ikke været stort fokus på reglerne og overtrædelse af dem har for størstedelen af virksomhederne ikke haft de store konsekvenser – før nu.

Med det gælder vel ikke for vores virksomhed ….

Jo, det gør det med al overvejende sandsynlighed. I opbevarer formentlig data om ansatte, oplysninger om kunder og leverandører? Og selv om I ikke opbevarer data digitalt, så vil selv en samling af papirer kunne betragtes som et register og dermed være omfattet af persondatareglerne.

Og husk – persondata er ikke kun jeres kunders, medlemmers eller patienters oplysninger – det er i lige så høj grad oplysninger om jeres medarbejdere, leverandører og samarbejdspartnere!

Det nye sort

Der er flere grunde til, at I skal sikre, at jeres virksomhed lever op til reglerne i den kommende persondataforordning:

1. Alle private og offentlige virksomheder og organisationer skal overholde den nye lovgivning.

2. Virksomheder kan efter den nye forordning tildeles administrative bøder på mellem 2- 4 % af den globale årlige omsætning for overtrædelse af reglerne.

Med det mener jeg, at med den betydning som digital brug og håndtering af oplysninger og data har på verdensplan, og med det tiltagende misbrug af data i særdeleshed, er det overordentlig vigtigt at få skærpet opmærksomheden på dette område. Det vil derfor også blive et tiltagende vigtigt parameter for virksomheder at signalere ansvarlighed i håndteringen af kundernes persondata. Det bliver en måde at understøtte virksomhedens image og markedsprofil på. På samme måde som godt arbejdsmiljø, bæredygtighed og grøn certificering allerede er det.

CompleteCompliance tilbyder flere løsninger:

1. Complete Compliant

Jeg fører jer sikkert igennem alle faser af processen fra den indledende kortlægning af data og datastrømme, til i samarbejde med IT-eksperter at lave en vurdering af jeres IT-systemer samt en vurdering af jeres nuværende interne og eksterne retningslinjer for håndtering af personoplysninger og IT-sikkerhed. Hvis det, som det vil være tilfældet i de fleste virksomheder, viser sig, at der er forhold, som skal tilrettes, hjælper jeg med det og sørger for, at det fornødne materiale udarbejdes og efterfølgende implementeres i virksomheden. Hele processen dokumenteres undervejs, så dokumentation kan fremvises for Datatilsynet og eventuelt på jeres hjemmeside. Så kan jeres kunder se, at I prioriterer jeres persondataretlige ansvar.

Med denne løsning kan I fokusere på jeres kerneydelse og det, som I er bedst til, og lade mig sikre, at jeres virksomhed er “complete compliant” i forhold til persondataforordningen.

2. Half and half

Er I allerede i gang med arbejdet men er gået i stå, eller ønsker I selv at have hands-on i processen og for eksempel selv gennemføre dele af kortlægningen eller udarbejdelsen af retningslinjer, kan vi hjælpes ad og aftale en arbejdsfordeling, hvor jeg kvalitetssikrer jeres arbejde. Slutresultatet vil som ovenfor blive, at I lever op til forordningen – til den tillid og det ansvar som jeres kunder og medarbejdere viser jer ved at lade jer håndtere deres personoplysninger.

3. Legal support

Hvis I selv ønsker at løse opgaven, kan jeg rådgive jer fra sidelinjen omkring forordningen, den danske databeskyttelseslov og eventuel anden national lovgivning, der har indflydelse på jeres virksomhed. I vil med denne model have adgang til telefonisk rådgivning i forløbet samt et nærmere antal aftalte møder i jeres virksomhed.

4. Databeskyttelsesrådgiver/DPO

Har I ikke kompetencerne i virksomheden til at varetage databeskyttelsesområdet eller ønsker I af anden grund at udlicitere opgaven, kan CompleteCompliance varetage området som ekstern konsulent. Vi aftaler sammen, hvad opgaven skal omfatte.

Hvorfor vælge CompleteCompliance

Hvis du vælger CompleteCompliance, får du en sikker GDPR-implementering, så du kan bevare dit faglige fokus og samtidig være stolt og hvile i visheden om, at din virksomhed overholder gældende krav og regler.

Jeg lægger vægt på ordentlighed, enkelhed og tydelig kommunikation, Du skal føle dig oplyst, beriget og hjulpet igennem hele processen. Derudover er det en grundlæggende værdi for mit arbejde, at jeg ikke ønsker at oversælge ydelser eller problematisere opgaven, men derimod at tilføje værdi til jeres virksomhed og for jeres kunder. Jeg lægger vægt på at levere lige netop den løsning, der er den rigtige for jer, og arbejder efter principperne Kvalitet, Ordentlighed og Rettidighed.

Lad os tage en uforpligtende snak

Jeg tilbyder en gratis og uforpligtende samtale enten ved et møde eller på telefon eller Skype, hvor vi sammen får et overblik over jeres virksomheds status i forhold til forordningen. Her kan vi drøfte, hvad I har af tid, ressourcer, kompetencer og økonomi afsat til opgaven. Sammen finder vi den model, der passer bedst til jer og som tager højde for lige netop jeres type af virksomhed og den kommunikation, som I har med jeres kunder og medarbejdere – og arbejdet er dækket af min professionelle ansvarsforsikring.

Lidt om baggrund og indhold for de særligt interesserede

I januar 2012 fremlagde EU-Kommissionen sit forslag til en ny databeskyttelsesforordning, og den blev vedtaget i april 2016. Reglerne skulle være implementerede den 25. maj 2018 og medlemslandene i EU har således haft 2 år til at implementere det nye regelsæt. Efter 25. maj 2018 er det reglerne i databeskyttelsesforordningen suppleret med den danske databeskyttelseslov og følgeloven til databeskyttelsesloven, som regulerer området for behandling af personoplysninger.  Forordningen stiller nye krav til offentlige og private virksomheders håndtering af personoplysninger. Hvis en virksomheds persondata opbevares/behandles/arkiveres hos en anden virksomhed – på fx en server – skal der laves en databehandleraftale, der har til formål at sikre, at virksomheden, der opbevarer data, håndterer disse korrekt. Forordningen stiller nye krav til virksomhedens databehandleraftaler med eksterne leverandører og samarbejdspartnere, og det skal derfor sikres, at der er indgået alle de nødvendige databehandleraftaler, og at alle bestående databehandleraftaler er opdaterede.

Nogle virksomheder vil endvidere skulle have en såkaldt databeskyttelsesrådgiver/Data Protection Officer (DPO) tilknyttet enten internt eller som ekstern konsulent.

Endelig stiller databeskyttelsesforordningen et nyt krav om, at virksomheden skal udarbejde og opbevare fortegnelser over alle behandlinger af personoplysninger, der foretages i virksomheden. Fortegnelseskravet betyder, at virksomhederne skal kunne fremvise dokumentation for hvilke personhenførbare oplysninger, der behandles i virksomheden, og det omfatter alle former for oplysninger, der kan føres tilbage til en fysisk person.