Guide til at gøre dine processer klar til GDPR

Den 25. maj 2018 træder den nye EU-dataforordning (GDPR) i kraft for alle virksomheder, der opererer i ethvert EU-medlemsland. Virkningen er allerede massiv. Enhver virksomhed skal være klar til at indhente samtykke, overføre kunde- og medarbejderdata til tredjeparter og være i stand til at bevise, at de håndterer personoplysninger effektivt. Denne GDPR-guide vil lære dig, hvordan du gør dine processer klar til dette.

Den største indvirkning kommer fra det faktum, at GDPR flytter bevisbyrden til virksomheden. Hvad betyder dette i praksis? Forestil dig, at du kører på en landevej. Pludselig trækker en politimand dig over. Nu beder han dig om at bevise, at du ikke kørte hurtigere, end du burde have gjort i hele sidste år! Det lyder måske absurd, men med den nye EU-forordning er det, hvad vi alle skal gøre. Du skal demonstrere, at du Følg reglerne. Det er ikke op til de regulerende myndigheder at bevise, at du overholder reglerne! Som følge heraf lægger dette bevisbyrden på din organisation. Heldigvis dækker denne GDPR-guide alt, hvad du behøver at vide.

Sanktioner for manglende overholdelse udgør betydelige risici for din organisation

GDPR vil have stor betydning for organisationer, der ikke har beskrevet deres processer og ikke har dokumenteret, hvordan de følger disse processer. Hvis de ikke kan, risikerer de bøder på op til € 20 millioner eller 4% af deres årlige omsætning – alt efter hvad der er højest. Derudover kan tilsynsmyndigheder endda forbyde overtrædere at administrere personoplysninger. Så dette er helt klart en risiko, som du skal klare. Spørgsmålet er hvordan? Jeg har skrevet denne guide for at forberede vores egne aktiviteter og tænkte, at det ville være værd at dele.

Denne GDPR-guide søger at besvare de spørgsmål, vi havde, da vi startede

Denne GDPR-guide søger at besvare de fem spørgsmål, som jeg fandt mig selv at stille, da Gluu først begyndte at gøre sig klar til dette:

1. Hvad er anvendelsesområdet for denne nye GDPR-forordning?
2. Hvornår er din organisation dataansvarlig, og hvornår er den databehandler?
3. Hvad er de vigtigste krav, som vi skal overholde?
4. Hvad kontrollerer, at vi opfylder kravene?
5. Hvordan kommer vi i gang?

---

Indholdsfortegnelse

Tjeklister til de seks vigtigste GDPR-krav
1. Indhent lovligt samtykke fra hver enkelt person
2. Dokumenter alle persondatarelaterede processer
3. Rapporter om brud på persondatasikkerheden
4. Risikoanalyse
5. Privacy-by-design
6. Bærbarhed

Hvordan starter man?
Analyser vores nuværende tilstand
Kortlæg eventuelle manglende processer
Analyser og luk huller i forhold til GDPR-krav
Forbered kontrolsystem
Forbered driften

Yderligere læsning

---

Introduktion til denne GDPR-vejledning

Først til nogle grundlæggende.

Hvad dækker den nye EU-dataforordning?

GDPR dækker alle personoplysninger. Personoplysninger er oplysninger, der opbevares, og som dækker enkeltpersoner. Alt fra en forbrugers IP-adresse til en medarbejders adresseoplysninger. Den EU’s reguleringswebsted siger det sådan:

“Enhver information relateret til en fysisk person eller ‘registreret’, der kan bruges til direkte eller indirekte at identificere personen. Det kan være alt fra et navn, et foto, en e-mail-adresse, bankoplysninger, indlæg på sociale netværkswebsteder, medicinske oplysninger eller en computers IP-adresse.

Så som du kan se, varierer omfanget med din forretningsmodel. I vores tilfælde sælger vi en online platform til Virksomheder, så vi har ingen personoplysninger om privatpersoner. For at beslutte, hvor vi skulle starte, lavede vi følgende prioritetsliste:

1. Data på vores kunders medarbejdere inden for Gluu platformen.
2. Salgs- og marketingdata på vores kunders medarbejdere (i vores CRM-system).
3. Data om vores egne medarbejdere.

Disse prioriteter hjalp os med at beslutte, hvilke processer vi skulle se på først.

Hvornår er din virksomhed “dataansvarlig”, og hvornår er den “databehandler”?

Forordningen skelner mellem de parter, der er ansvarlige for dataene, og dem, der blot lagrer og/eller behandler dem.

“En dataansvarlig er den enhed, der bestemmer formålene, betingelserne og midlerne til behandling af personoplysninger, mens databehandleren er en enhed, der behandler personoplysninger på vegne af den dataansvarlige.” – EU’s lovgivningswebsted

I vores tilfælde er vi vores egen dataansvarlige for vores egne medarbejdere og for salgs- og marketingdata relateret til specifikke personer i vores CRM-system. I forhold til dataene på vores platform er vi databehandler, og vores handlinger er underlagt databehandleraftaler, som vi har med kunderne.

For nogle er GDPR blot endnu en udfordring med procesoverholdelse

Med omfanget klart var vi nødt til at forstå det arbejde, der lå foran os. Hos Gluu skal vi allerede overholde kvalitets- og udviklingskrav, så i den forstand er GDPR blot endnu et compliance-område, der skal tilføjes til vores ledelsessystem. Dette styringssystem er dog inden for vores egen Gluu-platform, og det angiver allerede, hvordan vi opererer (proceshierarki, diagrammer og arbejdsinstruktioner og måler, at vi overholder automatiske opgaver og ændringsregistrering).

Til et normalt ledelsessystem (der kan dække sundhed og sikkerhed, kvalitet og sikkerhed) tilføjer GDPR kravet om, at din organisation skal:

1. Dokumentere, hvordan den behandler personoplysninger,
2. Sikre, at dets processer opfylder GDPR-kravene,
3. Være i stand til at rapportere og bevise, at den gør, som den siger.

Med andre ord skal du have alle nødvendige processer på plads og være i stand til at bevise, at du følger dem.

Så hvor efterlader dette din organisation?

Din situation	Din opgave forude
Ingen dokumenterede processer og “proceskultur” overhovedet	Start med at lave et proceshierarki, hvor du fokuserer på de processer, der sandsynligvis involverer eller påvirker personoplysninger.
Et forældet kvalitetsstyringssystem med processer beskrevet i Word-dokumenter.	Overfør og valider dine processer til et format, hvor du nemt kan involvere alle de nødvendige kolleger i diskussionen af hver aktivitet.
Et fuldt operationelt “procesdrevet” ledelsessystem med bredt ejerskab og en god “proceskultur”.	Gennemgå alle processer og markér eventuelle aktiviteter, der kan påvirke personoplysninger. Revider dine processer og aktiviteter i overensstemmelse med GDPR. Tilføj eventuelle manglende processer.

Hos Gluu er vi ægte “procesnørder”, og vi befandt os derfor i den sidste gruppe. Opgaven har dog stadig været betydelig.

Tjeklister for de seks vigtigste GDPR-krav

Fra en konference med den danske retsformular DAHL og læsning af hvidbøger og tjeklister over internationale lavede jeg denne liste over seks hovedkrav, som vi står over for:

1. Få lovligt samtykke.
2. Dokumentere alle persondatarelaterede processer.
3. Anmeld brud på persondatasikkerheden.
4. Løbende risikoanalyse.
5. Indbygget beskyttelse af personlige oplysninger.
6. Portabilitet.

Hvert krav forklares yderligere nedenfor. Jeg har også delt vores egne interne tjeklister, der blev lavet ud fra anbefalinger fundet på EU’s GDPR-websted og forskellige advokatfirmaer, der blev anbefalet der.

1. Få lovligt samtykke fra hver enkelt person

Du kan muligvis ikke længere bruge et langt “vilkår og betingelser” -dokument, hvor hver enkelt person markerer et felt for at bekræfte, at han eller hun har læst det. EU’s GDPR-websted siger det sådan:

“Samtykke skal være klart og kunne skelnes fra andre forhold og gives i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Det skal være lige så let at trække samtykket tilbage, som det er at give det. Udtrykkeligt samtykke er kun påkrævet for behandling af følsomme personoplysninger – i denne sammenhæng vil intet mindre end “opt-in” være tilstrækkeligt. For ikke-følsomme data vil “utvetydigt” samtykke dog være tilstrækkeligt.

Med dette i tankerne og input fra advokater oprettede vi denne tjekliste:

• Til at begynde med skal du finde ud af, hvordan vi registrerer samtykke, og overveje, hvordan vi holder en klar registrering af, hvad hver enkelt har givet samtykke til.
• Dernæst skal du sikre dig, at vi har identificeret og dokumenteret grundlaget for lovlig behandling (og hvor grundlaget for legitime interesser bruges, hvad de legitime interesser er) og opbevaringsperioden for dataene.
• Gør det nemt for enkeltpersoner at trække deres samtykke tilbage (dvs. et “afmeldingslink”).
• Demonstrer, at der altid opnås samtykke ved registrering af data.
• Vis, at de, der har givet deres personlige data, er klar over, at de har mulighed for at trække dem tilbage.

2. Dokumentere alle persondatarelaterede processer

“Hvis din databehandling kan påvirke sikkerheden af personoplysninger – og dette indsamles systematisk – skal du dokumentere alle databehandlingsaktiviteter.” Jeg læser dette som behovet for at sikre korrekt dokumentation af mange processer inden for marketing, produktstyring, HRM og IT Operations.

Dette er tjeklisten, som vi oprettede – opdelt i vores ansvar som dataansvarlig og dataansvarlig:

Dataansvarliges ansvar:

• Identificer, hvor personoplysninger behandles i din organisation, herunder af tredjepartsbehandlere.

• Beslut processen (og værktøjet) til lagring af formålene med behandling af data.
  • En beskrivelse af kategorier af registrerede og personoplysninger.
  • Kategorierne af modtagere af personoplysninger.
  • De nærmere oplysninger om overførsler til tredjelande.
  • Fristerne for sletning af forskellige kategorier af oplysninger.
  • En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der er truffet (med henvisning til informationssikkerhedspolitikken og informationsklassificeringspolitikken).

• Overvej, hvordan du sikrer, at de relevante oplysninger holdes ajour. Dette kan kræve, at kontraktforvaltere pålægges forpligtelser til at holde oplysninger om de kontrakter, som de er ansvarlige for, ajourførte og nøjagtige.

• Kortlægge dine nuværende behandlingsaktiviteter;
• Overvej, om de er i overensstemmelse med bestemmelserne i GDPR.

• HR-afdelingens håndtering af medarbejderdata
  • Forsynet medarbejdere med alle indsamlede data og til hvilket formål (både medarbejdere, kunder og andre tredjeparter).
  • Enhver overvågning af medarbejderkommunikation og internetbrug (herunder gennem Bring Your Own Device-løsninger og sociale medier).
  • Adgang til medarbejderfiler/kommunikation til undersøgelser.
  • Brug af CCTV.
  • Drift af whistleblowerordning.

• Kundedata
  • Ekstern privatlivspolitik.
  • Kundemarkedsføringsprotokoller.
  • Cookies og online tracking.

• Andre tredjepartsdata
  • Meddelelser / samtykker fra leverandør/samarbejdspartner.

• Dataoverførsler til tredjeparter
  • Deling af data med andre dataansvarlige.
  • Datadeling med processorer.

• Den registreredes rettigheder
  • Reaktion på registreredes rettigheder, dvs. adgang til registrerede, berigtigelse, sletning, begrænsning af behandling, dataportabilitet, ret til at gøre indsigelse mod visse typer behandling og ret til at gøre indsigelse mod eller opnå menneskelig indgriben i bestemt automatiseret beslutningstagning.

• Informationssikkerhed
  • Politik for informationssikkerhed og reaktion på databrud.

• Perioder for opbevaring af data
  • Datahåndteringsprogram, der er blevet tilpasset, så der er maksimale opbevaringsperioder for kategorier af personoplysninger samt minimumsopbevaringsperioder.

Databehandleres ansvar:

• Bestem den proces, du vil bruge til at registrere følgende detaljer for hver controller:
  • Navn og kontaktoplysninger på databehandleren og den databeskyttelsesansvarlige og den dataansvarlige, på hvis vegne den behandles.
  • Kategorier af behandling.
  • Overførsel af data til et tredjeland eller en international organisation.
  • Generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.
  • Hold oplysningerne opdaterede. Igen kan dette kræve, at kontraktforvaltere pålægges forpligtelser til at holde oplysninger om de kontrakter, som de er ansvarlige for, ajourførte og nøjagtige.

3. Anmeld brud på persondatasikkerheden

Den dataansvarlige skal sikre, at de rette tekniske og organisatoriske værktøjer og processer er på plads for at sikre, at personoplysninger håndteres i overensstemmelse med forordningen. Dette omfatter beskyttelse og beskyttelse af personoplysninger.

Det er vigtigt, at den dataansvarlige part kan bevise, at data behandles i overensstemmelse med forordningen.

For Gluu betyder det, at når vi agerer databehandlere på vegne af vores kunder, så skal vi sikre, at de kan opfylde dette krav fuldt ud og nemt – for alle data, der lagres på Gluu platformen.

Specifikt er dette vigtigt, når det kommer til informationssikkerhed. Artikel 33 omhandler kravet om, at alle brud på sikkerheden, der påvirker sikkerheden af personoplysninger, skal dokumenteres.

Dokumentationen skal omfatte:

• Hvad skete der.
• Hvornår det skete.
• Virkningen.
• De korrigerende og forebyggende foranstaltninger, der er truffet.

Indberet til tilsynsmyndigheden inden for 72 timer efter, at bruddet er kendt af den dataansvarlige.

Igen fulgte vi en tjekliste:

• For det første skal der indføres procedurer for reaktion på databrud og underretning for at overholde 72-timers frister med hensyn til underretning af tilsynsmyndigheden.
• For det andet skal der udarbejdes procedurer for reaktion på brud på datasikkerheden for at evaluere situationer, der udsætter registrerede for høj risiko, og procedurer, der gør det muligt at underrette registrerede “uden unødig forsinkelse” under sådanne omstændigheder, udarbejde skabelonbreve og gennemføre øvelser vedrørende brud på datasikkerheden.
• Derudover skal du opretholde et register over brud på persondatasikkerheden, der indeholder fakta vedrørende bruddet, virkningen og de afhjælpende foranstaltninger, der træffes.
• Sørg for, at disse databehandleraftaler har bestemmelser, der giver os mulighed for at overholde 72-timers fristerne for rapportering af overtrædelser.
• Endelig skal du sikre, at når vi er databehandleren, er disse mekanismer på plads, så vi uden unødig forsinkelse kan rapportere brud på datasikkerheden til den dataansvarlige.

Risikoanalyse

Løbende risikovurdering er vigtig for at overholde GDPR.

Det er yderst vigtigt, at du gennemfører en risikoanalyse, når du overvejer at implementere nye teknologier, der kan påvirke sikkerheden af personoplysninger. Et eksempel på risikovurdering af ny teknologi er screening og “hvad nu hvis”-spørgsmål.

Dette er tjeklisten:

• Sæt en proces på plads for at afgøre, om en PIA er påkrævet.
  • Hvis det fastslås, at en PIA er påkrævet, skal du sikre, at der er en klar proces til at sikre, at PIA’er udføres korrekt på tværs af organisationen og omfatter de minimumskrav, der er fastsat i GDPR, nemlig: en systematisk beskrivelse af behandlingsaktiviteterne og formålene med behandlingen en vurdering af nødvendigheden og proportionaliteten af behandlingsaktiviteterne.
  • En vurdering af risiciene for registreredes rettigheder og frihedsrettigheder (spørg f.eks. dit team, om du vil indsamle usædvanlige oplysninger om dem).

Beskyttelse af personlige oplysninger gennem design

Dataansvarlige sikrer, at dine systemer og processer er designet med privatlivets fred i tankerne. Derfor er GDPR-krav indbygget i disse.

Dette er tjeklisten for procesdesign:

• Brug kun personoplysninger, hvor det er nødvendigt – brug i andre tilfælde pseudonymer.

• Sørg for, at personoplysninger kun er tilgængelige for personer, der har brug for dem.

• Brug applikationer eller processer, der giver dig mulighed for at implementere sådanne kontroller.

Portabilitet

Artikel 20 fastslår, at den registrerede person har ret til at modtage de oplysninger, som han/hun har givet til den dataansvarlige. Giv disse oplysninger i et struktureret og fælles, maskinlæsbart format for nem dataoverførsel til andre organisationer.

Dette er tjeklisten for bærbarhed:

• Gennemgå og kortlæg dine internationale datastrømme, herunder data, der overføres uden for EU.

• Vurder, hvordan disse rettigheder udløses, og hvordan de vil blive udøvet i både kunde- og medarbejdersammenhænge.

• Overvej, hvordan du søger efter, filtrerer og adskiller de oplysninger, der kræves for at overholde rettighederne.

• Overvej, om rettighederne kan opfyldes helt eller delvist gennem en selvbetjeningsmulighed.

• Sørg for, at der findes mekanismer til at muliggøre svar inden for en måned.

• Vurder mulighederne for at få personoplysninger om konkurrenter eller andre tredjepartskunder porteret til din organisation gennem den registreredes udøvelse af portabilitetsrettigheder.

Hvordan starter du?

Nu har du skitseret alle dine krav og listet deres kontrolpunkter. Det næste skridt i vores GDPR-guide er at se på, hvordan og hvor du starter.

Med udgangspunkt i ovenstående tjeklister identificerede vi følgende hovedopgaver:

1: Analysér vores nuværende tilstand

Før vi startede, analyserede vi vores modenhed i forhold til persondata og processer. Dette hjalp med at afklare, hvor vi skulle fokusere og gav os et udgangspunkt for arbejdet. Vi brugte det danske regeringsværktøj” Privacy Compass ” for at udføre denne gap-analyse.

• Skab overblik over alle persondatarelaterede aktiviteter.

2: Kortlæg eventuelle manglende processer

Vi identificerede og kortlagde de resterende databeskyttelsesrelaterede processer. Denne kortlægning omfattede de berørte datastrømme og it-systemer.

3: Analysér og luk huller i forhold til GDPR-krav

Udfyld en dataformular pr. aktivitet (i hver proces), der involverer personoplysninger. Dette trin gjorde det muligt for os at identificere huller i vores krav og lukke dette.

• Udfør en risikoanalyse.
• Vurder informationssikkerhed.
• Sørg for, at alle tredjepartsrelationer er klar til GDPR.
• Etabler en ny proces for beskyttelse af personoplysninger.
• Opdater vores proces for sikkerhedsbrud.
• Oprethold alle processer.
• Bekræft alle processer.
• Opdater vores politik om personoplysninger.
• Opdater vores meddelelser om samtykke.

4: Forbered kontrolsystem

Vi udarbejdede et GDPR kontrolsystem i Gluu til vores brugeres persondata. For at gøre dette opretter vi tilbagevendende opgaver for at sikre, at vi følger korrekt op. Derudover dokumenterer vi opfølgningerne for enkel og nem rapportering.

• Opsætning af tilbagevendende opgaver og formularer.

5: Forbered operationer

Endelig kørte vi nogle tests for at sikre, at vi kunne rapportere korrekt. For eksempel, hvis der var et databrud, kunne vi så vise nøjagtigt, hvilke aktiviteter der involverede personoplysninger og blev påvirket af dette?

• Uddannelse i medarbejdernes bevidsthed.

---

Referencer:

• Microsoft har en nyttig vurdering og gap-analyse
• De danske datamyndigheder
• EU’s officielle GDRP-websted
• Oversigt over alle artikler i forordningen
• GDPR-tjekliste
• ROI af overholdelse af persondataforordningen
• Gluus GDPR-løsning

ISO 29134-standarden
ISO 27001-standarden

Hyppigt stillede spørgsmål