Gluu

GDPR Guide being discussed

Gluu Blog / Kvalitetstyring | Processtyring

Guide til at gøre dine processer klar til GDPR

Søren Pommer
By
Last updated on 15/10/2024

Den 25. maj 2018 træder den nye EU-dataforordning (GDPR) i kraft for alle virksomheder, der opererer i ethvert EU-medlemsland. Virkningen er allerede massiv. Enhver virksomhed skal være klar til at indhente samtykke, overføre kunde- og medarbejderdata til tredjeparter og være i stand til at bevise, at de håndterer personoplysninger effektivt. Denne GDPR-guide vil lære dig, hvordan du gør dine processer klar til dette.

Den største indvirkning kommer fra det faktum, at GDPR flytter bevisbyrden til virksomheden. Hvad betyder dette i praksis? Forestil dig, at du kører på en landevej. Pludselig trækker en politimand dig over. Nu beder han dig om at bevise, at du ikke kørte hurtigere, end du burde have gjort i hele sidste år! Det lyder måske absurd, men med den nye EU-forordning er det, hvad vi alle skal gøre. Du skal demonstrere, at du Følg reglerne. Det er ikke op til de regulerende myndigheder at bevise, at du overholder reglerne! Som følge heraf lægger dette bevisbyrden på din organisation. Heldigvis dækker denne GDPR-guide alt, hvad du behøver at vide.

Sanktioner for manglende overholdelse udgør betydelige risici for din organisation

GDPR vil have stor betydning for organisationer, der ikke har beskrevet deres processer og ikke har dokumenteret, hvordan de følger disse processer. Hvis de ikke kan, risikerer de bøder på op til € 20 millioner eller 4% af deres årlige omsætning – alt efter hvad der er højest. Derudover kan tilsynsmyndigheder endda forbyde overtrædere at administrere personoplysninger. Så dette er helt klart en risiko, som du skal klare. Spørgsmålet er hvordan? Jeg har skrevet denne guide for at forberede vores egne aktiviteter og tænkte, at det ville være værd at dele.

Denne GDPR-guide søger at besvare de spørgsmål, vi havde, da vi startede

Denne GDPR-guide søger at besvare de fem spørgsmål, som jeg fandt mig selv at stille, da Gluu først begyndte at gøre sig klar til dette:

  1. Hvad er anvendelsesområdet for denne nye GDPR-forordning?
  2. Hvornår er din organisation dataansvarlig, og hvornår er den databehandler?
  3. Hvad er de vigtigste krav, som vi skal overholde?
  4. Hvad kontrollerer, at vi opfylder kravene?
  5. Hvordan kommer vi i gang?

Indholdsfortegnelse

Tjeklister til de seks vigtigste GDPR-krav
1. Indhent lovligt samtykke fra hver enkelt person
2. Dokumenter alle persondatarelaterede processer
3. Rapporter om brud på persondatasikkerheden
4. Risikoanalyse
5. Privacy-by-design
6. Bærbarhed

Hvordan starter man?
Analyser vores nuværende tilstand
Kortlæg eventuelle manglende processer
Analyser og luk huller i forhold til GDPR-krav
Forbered kontrolsystem
Forbered driften

Yderligere læsning


Introduktion til denne GDPR-vejledning

Først til nogle grundlæggende.

Start gratis prøve

Tilmeld dig en 30-dages prøveperiode.
Der kræves intet kreditkort.

Afbildning af en person, der uddeler information

Hvad dækker den nye EU-dataforordning?

GDPR dækker alle personoplysninger. Personoplysninger er oplysninger, der opbevares, og som dækker enkeltpersoner. Alt fra en forbrugers IP-adresse til en medarbejders adresseoplysninger. Den EU’s reguleringswebsted siger det sådan:

“Enhver information relateret til en fysisk person eller ‘registreret’, der kan bruges til direkte eller indirekte at identificere personen. Det kan være alt fra et navn, et foto, en e-mail-adresse, bankoplysninger, indlæg på sociale netværkswebsteder, medicinske oplysninger eller en computers IP-adresse.

Så som du kan se, varierer omfanget med din forretningsmodel. I vores tilfælde sælger vi en online platform til Virksomheder, så vi har ingen personoplysninger om privatpersoner. For at beslutte, hvor vi skulle starte, lavede vi følgende prioritetsliste:

  1. Data på vores kunders medarbejdere inden for Gluu platformen.
  2. Salgs- og marketingdata på vores kunders medarbejdere (i vores CRM-system).
  3. Data om vores egne medarbejdere.

Disse prioriteter hjalp os med at beslutte, hvilke processer vi skulle se på først.

Hvornår er din virksomhed “dataansvarlig”, og hvornår er den “databehandler”?

Forordningen skelner mellem de parter, der er ansvarlige for dataene, og dem, der blot lagrer og/eller behandler dem.

“En dataansvarlig er den enhed, der bestemmer formålene, betingelserne og midlerne til behandling af personoplysninger, mens databehandleren er en enhed, der behandler personoplysninger på vegne af den dataansvarlige.” – EU’s lovgivningswebsted

I vores tilfælde er vi vores egen dataansvarlige for vores egne medarbejdere og for salgs- og marketingdata relateret til specifikke personer i vores CRM-system. I forhold til dataene på vores platform er vi databehandler, og vores handlinger er underlagt databehandleraftaler, som vi har med kunderne.

For nogle er GDPR blot endnu en udfordring med procesoverholdelse

Med omfanget klart var vi nødt til at forstå det arbejde, der lå foran os. Hos Gluu skal vi allerede overholde kvalitets- og udviklingskrav, så i den forstand er GDPR blot endnu et compliance-område, der skal tilføjes til vores ledelsessystem. Dette styringssystem er dog inden for vores egen Gluu-platform, og det angiver allerede, hvordan vi opererer (proceshierarki, diagrammer og arbejdsinstruktioner og måler, at vi overholder automatiske opgaver og ændringsregistrering).

Til et normalt ledelsessystem (der kan dække sundhed og sikkerhed, kvalitet og sikkerhed) tilføjer GDPR kravet om, at din organisation skal:

  1. Dokumentere, hvordan den behandler personoplysninger,
  2. Sikre, at dets processer opfylder GDPR-kravene,
  3. Være i stand til at rapportere og bevise, at den gør, som den siger.

Med andre ord skal du have alle nødvendige processer på plads og være i stand til at bevise, at du følger dem.

Så hvor efterlader dette din organisation?

Din situationDin opgave forude
Ingen dokumenterede processer og “proceskultur” overhovedetStart med at lave et proceshierarki, hvor du fokuserer på de processer, der sandsynligvis involverer eller påvirker personoplysninger.
Et forældet kvalitetsstyringssystem med processer beskrevet i Word-dokumenter.Overfør og valider dine processer til et format, hvor du nemt kan involvere alle de nødvendige kolleger i diskussionen af hver aktivitet.
Et fuldt operationelt “procesdrevet” ledelsessystem med bredt ejerskab og en god “proceskultur”.Gennemgå alle processer og markér eventuelle aktiviteter, der kan påvirke personoplysninger. Revider dine processer og aktiviteter i overensstemmelse med GDPR. Tilføj eventuelle manglende processer.

Hos Gluu er vi ægte “procesnørder”, og vi befandt os derfor i den sidste gruppe. Opgaven har dog stadig været betydelig.

Tjeklister for de seks vigtigste GDPR-krav

Fra en konference med den danske retsformular DAHL og læsning af hvidbøger og tjeklister over internationale lavede jeg denne liste over seks hovedkrav, som vi står over for:

  1. Få lovligt samtykke.
  2. Dokumentere alle persondatarelaterede processer.
  3. Anmeld brud på persondatasikkerheden.
  4. Løbende risikoanalyse.
  5. Indbygget beskyttelse af personlige oplysninger.
  6. Portabilitet.

Hvert krav forklares yderligere nedenfor. Jeg har også delt vores egne interne tjeklister, der blev lavet ud fra anbefalinger fundet på EU’s GDPR-websted og forskellige advokatfirmaer, der blev anbefalet der.

1. Få lovligt samtykke fra hver enkelt person

Du kan muligvis ikke længere bruge et langt “vilkår og betingelser” -dokument, hvor hver enkelt person markerer et felt for at bekræfte, at han eller hun har læst det. EU’s GDPR-websted siger det sådan:

“Samtykke skal være klart og kunne skelnes fra andre forhold og gives i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Det skal være lige så let at trække samtykket tilbage, som det er at give det. Udtrykkeligt samtykke er kun påkrævet for behandling af følsomme personoplysninger – i denne sammenhæng vil intet mindre end “opt-in” være tilstrækkeligt. For ikke-følsomme data vil “utvetydigt” samtykke dog være tilstrækkeligt.

Med dette i tankerne og input fra advokater oprettede vi denne tjekliste:

2. Dokumentere alle persondatarelaterede processer

“Hvis din databehandling kan påvirke sikkerheden af personoplysninger – og dette indsamles systematisk – skal du dokumentere alle databehandlingsaktiviteter.” Jeg læser dette som behovet for at sikre korrekt dokumentation af mange processer inden for marketing, produktstyring, HRM og IT Operations.

Start gratis prøve

Tilmeld dig en 30-dages prøveperiode.
Der kræves intet kreditkort.

Afbildning af en person, der uddeler information

Dette er tjeklisten, som vi oprettede – opdelt i vores ansvar som dataansvarlig og dataansvarlig:

Dataansvarliges ansvar:

Databehandleres ansvar:

3. Anmeld brud på persondatasikkerheden

Den dataansvarlige skal sikre, at de rette tekniske og organisatoriske værktøjer og processer er på plads for at sikre, at personoplysninger håndteres i overensstemmelse med forordningen. Dette omfatter beskyttelse og beskyttelse af personoplysninger.

Det er vigtigt, at den dataansvarlige part kan bevise, at data behandles i overensstemmelse med forordningen.

For Gluu betyder det, at når vi agerer databehandlere på vegne af vores kunder, så skal vi sikre, at de kan opfylde dette krav fuldt ud og nemt – for alle data, der lagres på Gluu platformen.

Specifikt er dette vigtigt, når det kommer til informationssikkerhed. Artikel 33 omhandler kravet om, at alle brud på sikkerheden, der påvirker sikkerheden af personoplysninger, skal dokumenteres.

Dokumentationen skal omfatte:

Indberet til tilsynsmyndigheden inden for 72 timer efter, at bruddet er kendt af den dataansvarlige.

Igen fulgte vi en tjekliste:

Start gratis prøve

Tilmeld dig en 30-dages prøveperiode.
Der kræves intet kreditkort.

Afbildning af en person, der uddeler information

Risikoanalyse

Løbende risikovurdering er vigtig for at overholde GDPR.

Det er yderst vigtigt, at du gennemfører en risikoanalyse, når du overvejer at implementere nye teknologier, der kan påvirke sikkerheden af personoplysninger. Et eksempel på risikovurdering af ny teknologi er screening og “hvad nu hvis”-spørgsmål.

Dette er tjeklisten:

Beskyttelse af personlige oplysninger gennem design

Dataansvarlige sikrer, at dine systemer og processer er designet med privatlivets fred i tankerne. Derfor er GDPR-krav indbygget i disse.

Dette er tjeklisten for procesdesign:

Portabilitet

Artikel 20 fastslår, at den registrerede person har ret til at modtage de oplysninger, som han/hun har givet til den dataansvarlige. Giv disse oplysninger i et struktureret og fælles, maskinlæsbart format for nem dataoverførsel til andre organisationer.

Dette er tjeklisten for bærbarhed:

Hvordan starter du?

Nu har du skitseret alle dine krav og listet deres kontrolpunkter. Det næste skridt i vores GDPR-guide er at se på, hvordan og hvor du starter.

Med udgangspunkt i ovenstående tjeklister identificerede vi følgende hovedopgaver:

1: Analysér vores nuværende tilstand

Før vi startede, analyserede vi vores modenhed i forhold til persondata og processer. Dette hjalp med at afklare, hvor vi skulle fokusere og gav os et udgangspunkt for arbejdet. Vi brugte det danske regeringsværktøj” Privacy Compass ” for at udføre denne gap-analyse.

2: Kortlæg eventuelle manglende processer

Vi identificerede og kortlagde de resterende databeskyttelsesrelaterede processer. Denne kortlægning omfattede de berørte datastrømme og it-systemer.

3: Analysér og luk huller i forhold til GDPR-krav

Udfyld en dataformular pr. aktivitet (i hver proces), der involverer personoplysninger. Dette trin gjorde det muligt for os at identificere huller i vores krav og lukke dette.

4: Forbered kontrolsystem

Vi udarbejdede et GDPR kontrolsystem i Gluu til vores brugeres persondata. For at gøre dette opretter vi tilbagevendende opgaver for at sikre, at vi følger korrekt op. Derudover dokumenterer vi opfølgningerne for enkel og nem rapportering.

5: Forbered operationer

Endelig kørte vi nogle tests for at sikre, at vi kunne rapportere korrekt. For eksempel, hvis der var et databrud, kunne vi så vise nøjagtigt, hvilke aktiviteter der involverede personoplysninger og blev påvirket af dette?


Referencer:

ISO 29134-standarden
ISO 27001-standarden

Hyppigt stillede spørgsmål

Hvad er sanktionerne for manglende overholdelse af GDPR, og hvor strengt bliver de håndhævet?

Sanktionerne for manglende overholdelse af GDPR kan være ganske alvorlige. Virksomheder, der overtræder betingelserne, kan få bøder på op til 20 millioner euro eller 4 % af virksomhedens globale årlige omsætning, alt efter hvad der er højest. Håndhævelsen af disse bøder udføres af databeskyttelsesmyndighederne i hvert EU-land, som er flittige til at sikre, at virksomhederne overholder forordningen. Faktisk har der siden indførelsen af GDPR været adskillige højt profilerede tilfælde af manglende overholdelse, der har ført til betydelige bøder. Derfor skal compliance tages alvorligt.

Hvordan gælder GDPR for virksomheder uden for EU, især dem, der indirekte beskæftiger sig med EU-borgeres data?

Selv om GDPR oprindeligt er en EU-forordning, har den global betydning. Enhver virksomhed, der behandler personoplysninger om EU-borgere, skal overholde GDPR, uanset hvor den ligger. Enhver virksomhed, der ligger uden for EU, skal overholde GDPR, hvis den indsamler, opbevarer eller handler med persondata, der tilhører EU-borgere. Hvis en virksomhed beskæftiger sig med databehandling i stor skala, skal den også udpege en repræsentant i EU. Denne repræsentation garanterer, at databeskyttelsesmyndigheder og enkeltpersoner kan kommunikere deres bekymringer eller anmodninger direkte.

Hvilke praktiske skridt kan en virksomhed tage for at gøre sine databehandlingsaktiviteter gennemsigtige for sine kunder i overensstemmelse med GDPR?

For at øge gennemsigtigheden over for deres kunder i overensstemmelse med GDPR kan virksomheder vedtage forskellige praktiske foranstaltninger. For det første kan de revidere deres privatlivspolitik for at gøre sproget mere forståeligt. For det andet bør virksomheder indarbejde overvejelser om databeskyttelse i alle faser af deres projekter. Et andet vigtigt skridt er at give kunderne mulighed for at tilgå, ændre eller downloade deres data. Kunderne bør også straks informeres om eventuelle databrud. Endelig kan udnævnelsen af en databeskyttelsesansvarlig være med til at skabe en klar kommunikationskanal for kunder, der har spørgsmål eller bekymringer om databehandlingsaktiviteter.

Måske har du også lyst til at læse...