Seks steps til GDPR

Magentas Databeskyttelsesansvarlig (DPO), Anne Dorte Bach, holdt tirsdag den 13. marts oplæg hos Ingeniørforeningen i Danmark (IDA), hvor hun fortalte om Magentas praktiske tilgang til GDPR. Her kan du læse seks konkrete steps til, hvordan du arbejder med implementering af GDPR i en mindre virksomhed, uden at investere store summer i nye værktøjer. 

Step 1: Overblik over data

Helt konkret skal der skabes et overblik over alle servere, harddiske, USB-sticks, tavler, it-systemer, papirarkiver, mobiltelefoner, SaaS- og cloud-løsninger, fotografier, og hvad der ellers måtte være relevant for i jeres virksomhed. Overblikket kan laves i et regneark. Hvis du bruger løsninger, der er baseret i USA, kan du tjekke, om de lever op til de europæiske myndigheders krav her https://www.privacyshield.gov/.

Step 2: Dataklassifikation

Når I har fået et overblik over alle jeres data, skal de kategoriseres i forhold til GDPR. Der skelnes mellem almindelige persondata og følsomme persondata.

Almindelige persondata: navn, adresse, email, telefon, CPR, sociale problemer, strafbare forhold.

Følsomme persondata: Etnicitet, religion, politik, fagforening, seksuel orientering, helbred, genetik/biometri.

Misbrug af de almindelige persondata kan man risikere, at den registrerede person udsættes for identitetstyveri. Ved misbrug af følsomme persondata kan den registrerede person risikere at udsættes for diskrimination. 

Step 3: Konsekvensanalyse

En konsekvensanalyse skal beregne konsekvenserne for den registrerede person, såfremt data lækkes. Det er altså ikke en analyse af konsekvensen for virksomheden. Hvis man har følsomme persondata har man pligt til at lave og vedligeholde en konsevensanalyse for disse data. . Manglende nødvendig konsekvensanalyse kan give bøder. Mulige overvejelser kan være:

  • risiko for identitetstyveri af f.eks. kontonummer og almindelige personoplysninger

  • risiko for diskrimination eller forskelsbehandling

Hvis der er potentielt alvorlige konsekvenser for den registrerede i de udformede konsekvensanalyser, skal databehandlingen foregå under sikre forhold der minimerer risici for at data lækkes.

Step 4: Beredskabsplan

Udform en beredskabsplan, så alle ved præcist hvad der skal ske i tilfælde af en sikkerhedsbrist eller datalæk. En beredskabsplan skal være tilgængelig for medarbejdere, så den kan tages frem, hvis det bliver nødvendigt.

Ved en sikkerhedsbrist skal en potentiel læk lukkes hurtigst muligt. Herefter vurderes omfang og konsekvens af en potentiel læk, i forhold til om det skal indberettes til Datatilsynet. Læg en plan for  genetablering af systemer og data (recovery).. Den dataansvarlige skal indberette en datalæk til Datatilsynet inden for maksimalt 72 timer, og der skal tages kontakt til evt. registrerede personer.

Step 5: “Køreskiven” - Behandlingsfortegnelse

Behandlingsfortegnelsen skal altid kunne vises frem på forlangende for at sikre, at en virksomhed overholder lovgivningen. I behandlingsfortegnelsen beskrives:

  • Formål med databehandlingen

  • Behandlingshjemmel

  • Kategori af registrerede personer og deres antal

  • Typer af personoplysninger, og hvorvidt data overført til tredjepart

  • Hvor længe data opbevares og hvordan de slettes,

  • Hvilke aktiver/maskinel der anvendes til databehandling

  • Hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der er truffet. Det kan f.eks. være adgang til data, hvorvidt medarbejdere må arbejde med data hjemmefra osv. Behandlingsfortegnelsen skal opdateres løbende.

Step 6: Implementering i organisation

Når alt forarbejdet er lavet, skal de nye procedurer og foranstaltninger tages i brug i virksomheden. Hos Magenta har vi gjort følgende tiltag.

  • Få italesat fejlkulturen. Vi ved, at mennesker begår fejl, og det er umuligt at undgå, selv om man har stramme sikkerhedsregler. Derfor er det vigtigt at give plads til, at medarbejderne tør erkende fejl. Og virksomheden skal som helhed medvirke til at  løse eventuelle fejl.

  • Der afholdes kontinuerligt kvartalsmøder og udviklerdage, hvor datasikkerhed og GDPR er på dagsordenen. Nye procedurer bliver besluttet og diskuteret, så alle medarbejdere, også nyankomne, forstår, hvad der skal gøres i praksis.

  • Ved alle nye projekter implementeres GDPR som en del af projektopstarten og bliver gennemgået løbende med kunden. Der arbejdes med Privacy by Design, hvor dataklassifikation og konsekvensanalyser er afgørende for, hvordan man designer nye systemer.