Alt du skal vide om GDPR (og GDPR ordbogen)

Denne artikel omhandler alt, du skal vide om GDPR for at kunne varetage compliance-opgaver for din virksomhed.

Artiklen er for dig, der er intern GDPR ansvarlig og har ansvaret for, at din organisation er compliant og efterlever persondataforordringen, der trådte i kraft i 2018.

Ønsket med denne artikel er at give dig et samlet overblik over de begreber og lovkrav, du skal kende til samt tilsikre, at din organisation efterlever.

Baggrunden for GDPR

Selvom det kan virke sådan, så er GDPR ikke sat i verden for at øge mængden af papirarbejde og regler, der skal overholdes.

I takt med udbredelsen af internettet er deling af data i tjenester og platforme steget eksponentielt. Dette har skabt et behov for at opsætte et regelsæt for, hvilke persondata man må opbevare, og hvordan disse skal opbevares.

I takt med udbredelse af sociale medier har der igennem tiden været flere sager om misbrug af persondata, hvor specielt Cambridge analytica sagen i 2018 har været med til at øge fokus på, hvordan man må behandle persondata.

Databeskyttelesforordningen opsummeret

GDPR (General Data Protection Regulation), også kendt som databeskyttelsesforordningen eller persondataforordningen, er en EU-forordning, som trådte i kraft den 25. maj 2018.

Forordningens formål er at fremme beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger i EU.

Ifølge databeskyttelsesforordningen skal alle europæiske organisationer - både private og offentlige - først og fremmest kunne dokumentere, at persondata bliver behandlet i overensstemmelse med reglerne på området.

Udover GDPR reguleres reglerne om databeskyttelse også af den danske databeskyttelseslov, der gennemfører og supplerer GDPR.

Du kan læse hele forordningen i fuld længde, eller få hovedpunkterne forklaret ved at læse videre i denne artikel.

Vil du læse mere om hvad GDPR er? Så har vi skrevet en artikel om netop det emne og hvad GDPR compliance egentlig er. Du kan læse artiklen her: Hvad er GDPR compliance?

Proces for GDPR implementering

Få et overblik over og udarbejd en 'artikel 30 fortegnelse' over din organisations behandlingsaktiviteter (artikel 30(1)(2)).
Dokumenter at I lever op til forordningens principper for behandling af personoplysninger (artikel 5).
Udarbejd databehandleraftaler med alle jeres databehandlere (artikel 28(3)).
Lav risikovurderinger af jeres behandlingsaktiviteter.
Iagttag jeres sikkerhedsniveau så det passer til jeres risikovurdering - på denne måde kan I nedbringe visse risici (artikel 24).
Få et overblik over om jeres organisation har internationale overførsler, og overvej om der er tale om et sikkert eller usikkert tredjeland, og om hjemmelsgrundlaget er på plads.
Planlæg et årshjul så I sikrer, at du og dine kollegaer får udført organisationens GDPR aktiviteter.

Personoplysninger

Hvornår må man behandle personoplysninger?

Når du behandler personoplysninger, er der 7 grundlæggende principper, du altid skal overholde som dataansvarlig. Alle GDPR-krav er baseret på disse principper, hvorfor det er vigtigt at have indsigt i disse. Du skal være opmærksom på, at iagttagelse af disse principper ikke udgør en behandlingshjemmel for din organisations behandlingsaktiviteter. Hjemlen finder du i forordningens øvrige hjemmelsbestemmelser.

De 7 grundlæggende GDPR-principper (artikel 5):

Lovlighed, rimelighed og gennemsigtighed.
Formålsbegrænsning.
Dataminimering.
Rigtighed.
Opbevaringsbegrænsning.
Integritet og fortrolighed.
Ansvarlighed.

1. Lovlighed, rimelighed og gennemsigtighed

Behandlingen af personoplysninger skal være lovlig. Din organisation skal derfor have hjemmel (et gyldigt behandlingsgrundlag) i national lov eller EU-lovgivning til at behandle persondata. Et eksempel kan være, at den registrerede har givet samtykke til behandlingen af personoplysninger efter artikel 6(1)(a) eller artikel 9(2)(a). Derudover indeholder lovlighedsprincippet også et krav om, at formålet med behandlingen skal være lovligt.

Rimelighed betyder, at den registreredes oplysninger skal behandles på rimelig vis. Det er derfor ikke nok, at behandlingen er lovlig, den skal også være rimelig overfor de registrerede. Rimelighed handler om at varetage beskyttelsesinteressen. Dette er et udtryk for den ulovbestemte gode databehandlerskik (eks. er det kun rimeligt at overvåge organisationens computere, hvis de ansatte er informeret herom).

Gennemsigtighed betyder, at din organisation tydeligt kommunikerer hvad, hvordan og hvorfor, I behandler den registreredes personoplysninger. Den registrerede skal på en transparent og gennemskuelig måde gøres bekendt med risici, rettigheder, regler og garantier ved behandlingen. Det er vigtigt, at der kommunikeres i et simpelt og letforståeligt sprog.

2. Formålsbegrænsning

Når personoplysninger indsamles, skal den dataansvarlige beskrive, hvilke formål oplysningerne indsamles til. Oplysningerne må kun behandles til det angivne formål. Det betyder, at du ikke må viderebehandle personoplysningerne til andre formål end det oprindelige formål, som du brugte til at indsamle oplysningerne med. Formålet med behandlingen skal fastlægges forud for behandlingsaktivitetens påbegyndelse. Formålet skal desuden være sagligt, hvilket betyder, at formålet skal være lovligt og inden for din organisations saglige område. Ved vurderingen af om en eventuel videregivelse af personoplysninger kan rummes i det oprindelige formål, kan 'ikke uforenlighedstesten' efter artikel 6(4) o.e. DBL § 5, stk. 2 foretages.

3. Dataminimering

De indsamlede personoplysninger skal være tilstrækkelige, relevante og begrænsede til formålet med behandlingen. Det er derfor vigtigt, at du ikke har flere oplysninger end nødvendigt for at indfri dit formål.

4. Datakvalitet/rigtighed

Det er vigtigt at sikre, at de personoplysninger, der behandles, er korrekte. Oplysningerne skal om nødvendigt ajourføres, og ukorrekte data skal straks opdateres eller slettes.

5. Opbevaringsbegrænsning

Personoplysninger skal slettes eller anonymiseres, når det ikke længere er nødvendigt at opbevare disse. Bliver oplysningerne stadig brugt til det oprindelige formål, er det ikke nødvendigt at slette dem.

6. Integritet og fortrolighed

Personoplysninger skal beskyttes mod uautoriseret eller ulovlig behandling. Det skal samtidig sikres, at oplysninger ikke går tabt eller bliver beskadiget. For at sikre dette skal din organisation have implementeret passende organisatoriske og tekniske foranstaltninger.

7. Ansvarlighed

Den dataansvarlige er ansvarlig for at ovenstående GDPR-principper overholdes. Det er desuden vigtigt, at du kan påvise, at din organisation efterlever principperne. Det er dog ikke angivet i forordningen, hvordan du skal dokumentere, at I efterlever disse. Dog findes der i forordningen nogle formkrav til visse dokumentationer, f.eks. i artikel 28(9) hvoraf det fremgår, at databehandleraftaler skal være skriftlige og elektroniske. Det samme krav gør sig gældende for fortegnelser efter artikel 30.

Hvad er personoplysninger?

En personoplysning er enhver form for information, der kan føres tilbage til en bestemt person.

Eksempelvis er følgende oplysninger identificerbare:

Personnumre.
Fingeraftryk.
Lokaliseringsdata.
Betalingsoplysninger.
Lægejournaler.

Når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre oplysninger, kan oplysningen karakteriseres som “personhenførbar”.

Der skelnes mellem tre kategorier af personoplysninger i persondataforordningen:

Almindelige personoplysninger (ikke-følsomme oplysninger).
Særlige kategorier af personoplysninger (følsomme oplysninger).
Straffedomme og lovovertrædelser.

Almindelige personoplysninger (ikke-følsomme oplysninger)

Almindelige personoplysninger er alle oplysninger, der ikke er klassificeret som følsomme personoplysninger. Det kan for eksempel være:

Identifikationsoplysninger som navn, adresse, alder og uddannelse.
Økonomiske forhold.
Familieforhold.
Bolig.
Sociale problemer.
Ansøgning og CV.

Særlige kategorier af personoplysninger (følsomme oplysninger)

De særlige kategorier af personoplysninger er udtrykkeligt afgrænset i databeskyttelsesforordningen, og det er oplysninger om:

Race og etnisk oprindelse.
Politisk overbevisning.
Religiøs eller filosofisk overbevisning.
Fagforeningsmæssige tilhørsforhold.
Genetiske data.
Biometriske data med henblik på entydig identifikation.
Helbredsoplysninger.
Seksuelle forhold eller seksuel orientering.

Kun de oplysninger, som er nævnt ovenfor, er særlige kategorier af personoplysninger.

Straffedomme og lovovertrædelser

Oplysninger om strafbare forhold er særskilt reguleret i databeskyttelsesloven. Det kan eksempelvis være en oplysning om, at en person har begået en bestemt lovovertrædelse.

GDPR-forordningen henviser til, at man skal finde hjemmel for behandlingen af disse oplysninger i national lovgivning som f.eks. den danske databeskyttelseslov.

Nationalt identifikationsnummer

CPR nr.

GDPR-forordningen henviser til, at man skal finde hjemmel for behandlingen af disse oplysninger i national lovgivning som f.eks. den danske databeskyttelseslov.

Behandlingsaktiviteter

Hvad er en behandlingsaktivitet?

En behandlingsaktivitet kan oversættes til en arbejdsproces, hvori du håndterer personoplysninger. Det er primært elektronisk behandling af oplysninger, der er omfattet af reglerne. Eksempler kan være indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse eller sletning af personoplysninger.

Eksempler på interne behandlingsaktiviteter:

Lønudbetaling.
Rekruttering og ansøgninger.
HR-administration.

Eksempler på eksterne behandlingsaktiviteter:

Udsendelse af nyhedsbreve.
Kunde-administration.
Cookie samtykke.

Der kan både være tale om behandling af almindelige og følsomme personoplysninger samt interne oplysninger på medarbejdere og eksterne oplysninger på eksempelvis kunder og leverandører.

Dokumentation af behandlingsaktiviteter

Et af de vigtigste krav i persondataforordningen er, at hvis jeres virksomhed behandler persondata, skal I dokumentere jeres behandlingsaktiviteter. En behandlingsaktivitet kan ses som en "arbejdsproces hvori der behandles persondata".

Dokumentationen af jeres behandlingsaktiviteter har bl.a. til formål at leve op til "Principper for behandling af persondata", "Føre en fortegnelse over behandlingsaktiviteter" og "Risikovurdere behandlinger". Behandlingsaktiviteterne kan derfor anses som fundamentet for jeres videre arbejde med GDPR.

Registrering af behandlingsaktiviteter

Registrering af behandlingsaktivitet kan ske i et statisk dokument, eller i en cloud baseret platform, hvor der er mulighed for at arbejde dynamisk med de indtastede informationer.

Dataansvarlig og databehandler

Hvad er en dataansvarlig?

Forordningen definerer en dataansvarlig som: “En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.” Den dataansvarlige afgør således hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler) personoplysningerne behandles. Det er samtidig den dataansvarliges ansvar, at der er hjemmel til behandlingen, og at den registreredes rettigheder iagttages og overholdes.

Hvad er en databehandler?

Forordningen definerer en databehandler som: “En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.” Databehandleren behandler altså personoplysninger efter instruks fra den dataansvarlige, og databehandleren handler under den dataansvarliges ansvar. Handler databehandleren uden for instruks (og dermed uden for databehandleraftalen) bliver denne selvstændigt dataansvarlig. Dette betyder dog ikke, at den oprindeligt dataansvarlige ikke kan drages til ansvar over for den registrerede. Det er den dataansvarliges ansvar, at kontrollere databehandleren (og den dataansvarliges ansvar hvad databehandleren foretager sig).

Databehandleren er ansvarlig for at efterleve databehandleraftalen med den dataansvarlige.

Hvad er en underdatabehandler?

Databehandleren har mulighed for at videregive en eller flere opgaver til en underdatabehandler (underleverandør). Underdatabehandleren har som minimum de samme forpligtigelser som databehandleren.

Databehandleren må kun gøre brug af en underdatabehandler, såfremt den dataansvarlige har givet skriftlig godkendelse til dette. Derudover er det vigtigt at understrege, at underdatabehandleren handler på vegne af den dataansvarlige og ikke på vegne af databehandleren. Det betyder, at databehandleren ikke bliver dataansvarlig for underdatabehandleren. Dog er databehandleren ansvarlig for de databeskyttelsesretlige forpligtelser underdatabehandleren har. Såfremt underdatabehandleren ikke lever op til disse forpligtelser, er det databehandlerens ansvar at opfylde disse forpligtelser over for den dataansvarlige.

Det er vigtigt, at ansvaret er klart fordelt i databehandleraftalen.

Hvad er en databehandleraftale?

Det er et lovkrav, at du som dataansvarlig indgår en databehandleraftale med alle dine databehandlere. Databehandleraftalen beskriver, hvordan databehandleren må behandle persondata på vegne af den dataansvarlige, således det sikres, at data bliver behandlet korrekt og sikkert. Aftalen er et retligt bindende dokument, der skal foreligge skriftligt herunder elektronisk. Aftalen skal leve op til nogle minimumskrav, for at den anses som værende gyldig.

Minimumskrav til databehandleraftalen

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige.
Databehandleren skal sikre, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Databehandleren iværksætter tekniske og organisatoriske foranstaltninger til at sikre et sikkerhedsniveau, der passer til den dataansvarliges risikovurdering.
Databehandleren opfylder betingelserne ifm. brug af underdatabehandlere.
Databehandleren bistår så vidt muligt den dataansvarlige med at besvare anmodninger fra den registrerede om f.eks. indsigt, sletning eller berigtigelse.
Databehandleren bistår den dataansvarlige med at sikre behandlingssikkerhed, at underrette tilsynsmyndigheden/den registrerede om brud på persondatasikkerheden samt at udarbejde konsekvensanalyser.
Databehandleren sletter eller tilbageleverer personoplysningerne til den dataansvarlige efter den dataansvarliges valg.
Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravet om databehandleraftale til rådighed for den dataansvarlige og underretter den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med forordningen.

Datatilsynet yder vejledning om, hvordan du kan udforme en databehandleraftale. Du kan eksempelvis benytte Datatilsynets skabelon til at udarbejde din virksomheds databehandleraftale og se i databeskyttelsesforordningens artikel 28(3) for nærmere uddybning.

Tilsyn af databehandlere

Ifølge forordningen skal du som dataansvarlig føre tilsyn med, at databehandleren efterlever databehandleraftalen. Det er således ikke tilstrækkeligt blot at have indgået en databehandleraftale. Du kan læse mere om tilsyn af databehandlere her.

Fortegnelse

Derfor skal du have en fortegnelse

Et af de vigtigste krav i persondataforordningen er, at alle dataansvarlige og databehandlere skal føre interne fortegnelser over behandlingsaktiviteter (arbejdsproces hvori der behandles personoplysninger). Fortegnelsen sikrer, at dataansvarlige og -behandlere har dannet sig det påkrævede overblik, og dermed efterlever forordningens regler. Du skal til enhver tid kunne fremvise fortegnelsen over dine behandlingsaktiviteter til Datatilsynet efter anmodning. Fortegnelser skal foreligge skriftligt og elektronisk, og der stilles ikke nogen krav til formatet heraf.

Hvilke oplysninger skal en artikel 30 fortegnelse indeholde?

Artikel 30 fortegnelsen er delt op i 30.1 og 30.2, der hhv. der omhandler oplysninger for dataansvarlige og databehandlere.

Fortegnelse for dataansvarlige (30.1 fortegnelse)

Alle virksomheder der behandler persondata skal lave en artikel 30.1 fortegnelse. Her er du dataansvarlig, hvilket betyder, at du har ansvar for den data, der behandles. Du skal derfor udarbejde en artikel 30.1 fortegnelse over dine behandlingsaktiviteter hvis du f.eks. behandler data på medarbejdere i forbindelse med lønudbetaling. Fortegnelsen skal indeholde:

Navn og kontaktoplysninger for den dataansvarlige.
Formålene med behandlingen.
Kategorier af registrerede og kategorier af personoplysninger.
Kategorier af modtagere ved videregivelse.
Overførsler til tredjelande og internationale organisationer.
Slettefrister for de forskellige kategorier af oplysninger.
Beskrivelse af tekniske og organisatoriske foranstaltninger hvis muligt.

Fortegnelse for databehandlere (30.2 fortegnelse)

Det er ikke alle virksomheder, der skal lave en artikel 30.2 fortegnelse. Denne skal kun udarbejdes af virksomheder, der agerer i rollen databehandler. At være databehandler betyder, at du ikke er ansvarlig for den persondata der behandles, men du behandler den på vegne af en anden dataansvarlig virksomhed.

Eksempler på typiske databehandler virksomheder kan være en it-leverandør eller et marketingbureau, der behandler data på vegne af deres kunder.

*Databehandlere registreres også på en 30.1 fortegnelse, og denne skal alle dataansvarlige virksomheder udarbejde. Her registreres de databehandlere som I benytter, hvor der på en 30.2 registreres de virksomheder, der bruger jer som databehandler.

Navn og kontaktoplysninger for databehandleren (dig som leverandør) og den dataansvarlige (kunden) på hvis vegne databehandleren handler.
Kategorier af behandlinger der foretages på vegne af den dataansvarlige.
Overførsler til et tredjeland eller en international organisation
Beskrivelse af tekniske og organisatoriske foranstaltninger hvis muligt

Hvornår skal du have en fortegnelse?

Stort set alle virksomheder og organisationer skal føre en fortegnelse over deres behandlingsaktiviteter.

Har du brug for hjælp til at udarbejde din fortegnelse?

Læs hvordan Privacy platformen kan hjælpe dig med at holde din fortegnelse opdateret.

Tilsyn med databehandlere

Hvordan fører jeg tilsyn med mine databehandlere?

Det er ikke tilstrækkeligt at indgå en databehandleraftale med dine databehandlere, som dataansvarlig virksomhed eller myndighed er I også forpligtet til løbende at føre tilsyn med, at databehandlerne efterlever databehandleraftalen. Dette tilsyn skal I til enhver tid kunne dokumentere overfor Datatilsynet.

Sådan foretager du et tilsyn med dine databehandlere

Datatilsynet opstiller en vejledende model, som du kan støtte dig til, når du skal vurdere, hvordan du vil føre tilsyn med dine databehandlere. Modellen består af en pointskala, som kan indikere, hvor risikofyldt behandlingen af personoplysninger er. Herudover er der seks tilsynskoncepter, som gradvist stiller større krav til tilsynet. Du kan fokusere på det/de tilsynskoncepter, der er relevante for dig, baseret på hvor mange point du har fået i pointskalaen.

Datatilsynets pointscala. Kilde: datatilsynet.dk

Pointskala

Praktisk anvendelse af pointskalaen

Antallet af point i pointskalaen afhænger af fire parametre, defineret af datatilsynet:

Hvor mange personer din databehandler behandler oplysninger om.
Hvorvidt din databehandler behandler særlige kategorier af personoplysninger (følsomme oplysninger) på dine vegne.
Om din databehandler behandler andre personoplysninger af beskyttelsesværdig karakter på dine vegne.
Om selve behandlingen af oplysninger går tæt på de involveredes privatliv.

Koncept 1
Du skal ikke gøre noget, medmindre du bliver opmærksom på, at der er noget galt hos databehandleren.

Koncept 2
Databehandleren bekræfter – helst skriftligt – over for dig, at alle krav i databehandleraftalen stadig efterleves.

Koncept 3
Databehandleren giver dig årligt – enten direkte eller via sin hjemmeside – en skriftlig status på forhold, der er omfattet af databehandleraftalen og andre relevante områder (f.eks. organisatoriske eller produktmæssige ændringer).

Koncept 4
Databehandleren har en relevant og opdateret certificering eller følger et såkaldt adfærdskodeks, som er relevant for dine behandlingsaktiviteter.

Koncept 5
En uafhængig tredjepart har ført et dokumenteret tilsyn med databehandleren på et område, som også dækker dine behandlingsaktiviteter.

Koncept 6
Du fører selv – eller sammen med andre – et dokumenteret tilsyn med databehandleren.

Metoder til løbende tilsyn af databehandlere

Der er flere måder, hvorpå du kan føre tilsyn med dine databehandlere, alt efter hvem og hvordan du ønsker processen.

Hvem skal udføre tilsynet?

Du kan vælge at varetage opgaven selv eller outsource til en ekstern partner.

Hvordan skal tilsynet dokumenteres og styres?

Du kan udføre tilsynet i et statisk dokument, eller du kan benytte en platform til formålet.

DPA service

.legal tilbyder at udføre opgaven med at føre tilsyn med jeres databehandlere efter Datatilsynets vejledning. Vi driver processen og foretager løbende opfølgning af databehandlerne, så I ikke selv skal varetage denne tunge og tidskrævende opgave. Vores service dækker over alle tilsynskoncepter, og risikoklassificeringen kan laves direkte i systemet.

Læs mere om vores Data Processor Audit Service her.

Hvordan strukturerer du tilsyn med dine databehandlere? Det har vi skrevet en artikel om, som du kan læse her.

Risikovurdering

Hvad er formålet med en risikovurdering?

En risikovurdering er en vigtig proces, der hjælper virksomheder med at tage strategiske beslutninger og sikre deres sikkerhedsforanstaltninger. Formålet med risikovurderingen er at opnå en dybdegående forståelse af eventuelle risici forbundet med virksomhedens operationer og vurdere sandsynligheden og de mulige konsekvenser, hvis disse risici skulle opstå. Ved at undersøge risici fra forskellige perspektiver - fra arbejdsmiljø til økonomisk investering og databeskyttelse - kan virksomheden forudse potentielle udfordringer og proaktivt implementere løsninger for at reducere deres påvirkning.

I forbindelse med GDPR er risikovurderingen et afgørende værktøj, der hjælper virksomheder med at sikre en pålidelig og lovlig behandling af persondata. Formålet med risikovurderingen er at identificere potentielle risici for, at persondata kan blive kompromitteret, og dermed sikre, at passende sikkerhedsforanstaltninger er på plads. Dette kræver en skræddersyet tilgang, da risici kan variere markant fra virksomhed til virksomhed.

Hvordan laver du en risikovurdering?

At udføre en effektiv risikovurdering inden for rammerne af GDPR kræver en systematisk og struktureret tilgang. Din organisation skal have en overordnet ramme, der giver mulighed for at navigere i et komplekst landskab af risici. Dette gør det muligt at identificere, kategorisere og prioritere forskellige risici - fra sikkerhedsbestemmelser til fortrolighedsbetingelser og dokumentopbevaring. Det hjælper dig med at allokere ressourcerne effektivt til risikohåndtering og garanterer din overholdelse af reguleringer som GDPR.

For det første skal du identificere og liste potentielle trusler relateret til dine persondataaktiviteter. Disse kan være alt fra risici forbundet med håndtering af følsomme persondata, krav til samtykke, datasikkerhed, til risici ved overførsel af persondata til tredjelande. Inkluder alle relevante stakeholders i denne proces, da det kan hjælpe med at sikre, at alle aspekter er dækket.

Herefter skal du evaluere sandsynligheden for, at disse trusler opstår. Dette kræver en realistisk vurdering af de aktuelle trusler og sårbarheder. For eksempel, hvis din organisation tillader fjernarbejde, kan en potentiel trussel være et hackerangreb på medarbejdernes hjemmekontor. Vurder i hvilket omfang denne trussel er relevant for din organisation.

Næste skridt er at vurdere konsekvenserne, hvis disse trusler bliver til virkelighed. Overvej konsekvenserne for den registrerede, hvis disse data skulle blive kompromitteret. Hvad ville det betyde for den enkelte person? Hvordan ville det påvirke din virksomhed?

Den samlede risikovurdering for hver trussel kan så beregnes ved at multiplicere sandsynligheden med konsekvensen. Denne kvantitative tilgang kan hjælpe med at prioritere hvilke risici, der kræver mest opmærksomhed.

Efter du har gennemført din risikovurdering, er det essentielt at implementere passende foranstaltninger for at minimere og håndtere disse risici. Gennem hele denne proces skal du sikre dokumentation, så du kan demonstrere overholdelse af GDPR, hvis det er nødvendigt. Gennemførelse af en omhyggelig og grundig risikovurdering er ikke kun vigtigt for at overholde GDPR, men også for at beskytte din virksomheds omdømme og økonomiske stabilitet.

Eksempel på en risiko: håndtering af persondata via e-mail.

Eksempel: Risikovurdering af deling af persondata via e-mail. Trussel: En medarbejder sender ved en fejltagelse en e-mail indeholdende følsomme personoplysninger om 50 klienter til en forkert modtager.

Sandsynlighed: Da virksomheden dagligt bruger e-mail til at kommunikere med klienter og dele oplysninger internt, er der en middel sandsynlighed for, at sådan en fejl kan ske. Virksomheden har implementeret procedurer for at minimere denne risiko, men menneskelige fejl kan ikke fuldstændigt udelukkes.

Konsekvens: De udsendte oplysninger kan potentielt blive misbrugt af den forkerte modtager, hvilket kan føre til identitetstyveri eller andre former for misbrug. Dette vurderes som en høj konsekvens.

Husk, det er vigtigt at vurdere risici for alle virksomhedens behandlingsaktiviteter, hvilket inkluderer alle de forskellige måder, du indsamler, gemmer, bruger og deler personoplysninger på. Du kan finde en detaljeret liste over disse aktiviteter i din fortegnelse over behandlingsaktiviteter.

Er det svært at overskue, hvordan du selv skal lave en risikovurdering?

Læs vores artikel: Gennemførsel af GDPR risikovurderinger - et eksempel og rammeværktøj

Du kan også læse om vores risikmodul i Privacy her

Sikkerhedsforanstaltninger

I henhold til artikel 32 i databeskyttelsesforordningen kræves det, at den dataansvarlige implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger for at imødekomme de risici, der er forbundet med behandlingen af persondata.

Disse krav om passende sikkerhedsforanstaltninger gælder både for elektronisk og fysisk behandling af persondata. Det betyder, at den dataansvarlige skal træffe de nødvendige foranstaltninger for at beskytte persondata mod uautoriseret adgang, ændring, videregivelse, ødelæggelse eller anden ulovlig behandling.

Tekniske sikkerhedsforanstaltninger

De tekniske sikkerhedsforanstaltninger omfatter implementeringen af sikkerhedsteknologier og -løsninger, såsom:

Opdatering af software
Firewall
Antivirus
Kryptering
Backup
Logning
Stærke adgangskoder
Adgangsrettigheder

Opdatering af software

Det er vigtigt at holde jeres systemer opdaterede for at undgå sikkerhedsbrister. Når en softwareudbyder opdager en sikkerhedsbrist, vil de hurtigt frigive en ny version, som lukker sikkerhedshullet.

Firewall

En firewall fungerer som en beskyttende barriere og forhindrer uønsket trafik i at få adgang til jeres netværk. Det anbefales at have en firewall konfigureret på alle netværk for at beskytte mod uautoriseret adgang.

Antivirus

Antivirus er afgørende for at forhindre skadelige filer i at inficere jeres enheder. Det overvåger og blokerer for mistænkelig aktivitet og kan forhindre skaden, før den sker.

Kryptering

Ved at anvende kryptering gøres jeres data ulæselig for uautoriserede personer. Kryptering sikrer, at kun dem med den rette dekrypteringsnøgle kan læse de fortrolige oplysninger.

Backup

Regelmæssig backup af jeres data er vigtig for at beskytte mod datatab. Hvis uheldet er ude, og data går tabt eller bliver beskadiget, kan I gendanne dem fra backup-kopier.

Logning

Logning indebærer at registrere og overvåge aktiviteter på jeres systemer. Dette giver mulighed for at spore og analysere hændelser, hvilket er nyttigt for at opdage og reagere på eventuelle sikkerhedsproblemer.

Stærke adgangskoder

Adgangskoder skal være komplekse og unikke for at forhindre uautoriseret adgang. Undgå enkle eller let genkendelige mønstre og opmuntre brugerne til at vælge stærke adgangskoder.

Adgangsrettigheder

Det er vigtigt at tildele medarbejderne adgangsrettigheder, der er nødvendige for deres arbejde. Undgå at give fuld adgang til systemer, medmindre det er påkrævet. Dette sikrer overholdelse af GDPR og minimerer risikoen for misbrug af adgangsprivilegier.

Organisatoriske sikkerhedsforanstaltninger

De organisatoriske sikkerhedsforanstaltninger indebærer:

Implementeringen af interne politikker og procedurer
Medarbejdertræning og bevidsthed
Begrænsning af adgangsrettigheder
Implementering af dataopbevarings- og slettepolitikker

Implementering af interne politikker og procedurer

I bør udvikle og implementere klare og omfattende politikker of procedurer, der fastlægger retningslinjer for databeskyttelse.

Medarbejdertræning og bevidsthed

En vigtig del af de organisatoriske sikkerhedsforanstaltninger er at sikre, at medarbejderne er opmærksomme på deres ansvar for databeskyttelse og har den nødvendige viden og færdigheder til at håndtere persondata sikkert. Dette kan opnås gennem regelmæssig træning og opdateringer om databeskyttelsesprincipper, bedste praksis og juridiske krav. Ved at investere i medarbejdertræning kan organisationen styrke databeskyttelseskulturen og minimere risikoen for fejl eller uagtsomhed i behandlingen af persondata.

Begrænsning af adgangsrettigheder

"Begrænsning af adgangsrettigheder" er en vigtig sikkerhedsforanstaltning i forbindelse med GDPR, der har til formål at minimere risikoen for utilsigtet eller uautoriseret adgang til persondata. Ved at begrænse adgangsrettighederne sikres det, at kun de medarbejdere, der har brug for specifikke personoplysninger for at udføre deres arbejdsopgaver, har adgang til disse data.

Dette kan opnås gennem forskellige tekniske og organisatoriske metoder. På den tekniske side kan det indebære brug af adgangskoder, tofaktorautentificering, kryptering eller brugeradgangskontrolsystemer. På den organisatoriske side kan det indebære politikker og procedurer, der afgør, hvem der har adgang til hvilke data.

Begrænsning af adgangsrettigheder hjælper med at minimere risikoen for databrud, beskytter personlige data og hjælper organisationer med at opfylde deres forpligtelser i henhold til GDPR. Det er en essentiel del af enhver databeskyttelsesstrategi.

Implementering af dataopbevarings- og slettepolitikker

Det er vigtigt at have klare retningslinjer for, hvor længe persondata skal opbevares, og hvornår det skal slettes.

Har du overblik over hvor og hvilke sikkerhedsforanstaltninger du har implementeret? Lad Privacy ISMS hjælpe dig med den opgave.

Dataansvar

I den digitale æra, hvor data er en afgørende ressource, er det vigtigt at forstå de forskellige roller, man kan have i forhold til databeskyttelse. Under GDPR (General Data Protection Regulation) defineres disse roller klart for at sikre, at persondata håndteres ansvarligt og sikkert. Om du er en enkeltperson, en del af et team, eller arbejder sammen med andre organisationer, kan dit dataansvar variere. Lad os dykke ned i de forskellige former for dataansvar: eget dataansvar, delt dataansvar, og fælles dataansvar, og udforske, hvad hver rolle indebærer.

Eget dataansvar

Når du har eget dataansvar, betyder det, at din organisation alene er ansvarlig for behandlingen af personoplysninger. Dette indebærer, at du skal sikre, at alle aspekter af databehandlingen overholder GDPR. Fra indsamlingen af data til lagring og eventuel sletning, er det dit ansvar at implementere passende sikkerhedsforanstaltninger. Dette omfatter også at informere de registrerede om, hvordan og hvorfor deres data behandles, samt at sikre deres rettigheder ifølge GDPR.

Delt dataansvar

Delt dataansvar opstår, når din organisation arbejder sammen med en eller flere eksterne parter om databehandlingen. I dette scenarie skal alle parter klart definere deres ansvarsområder og sikre, at personoplysningerne håndteres korrekt i henhold til GDPR. Samarbejdet kræver en aftale, der præcist angiver, hvem der er ansvarlig for hvad, herunder beskyttelse af data og håndtering af eventuelle dataovertrædelser. Det er afgørende at have klare kommunikationslinjer og processer på plads for at sikre, at alle parter forstår deres ansvar.

Fælles dataansvar

Fælles dataansvar refererer til situationer, hvor to eller flere organisationer sammen bestemmer formålene med og midlerne til databehandlingen. Dette kræver et tæt samarbejde for at sikre, at personoplysningerne behandles i overensstemmelse med GDPR. Organisationerne skal indgå en aftale, der detaljeret beskriver deres respektive forpligtelser, herunder hvordan de registreredes rettigheder sikres. Det er også vigtigt, at de registrerede informeres tydeligt om, hvem de kan kontakte vedrørende deres data, og hvordan deres rettigheder kan udøves.

Ved at lave en overskuelig datamapping kan du få et bedre overblik over dine roller og forpligtelser.

Læs mere om hvordan du laver data mapping i denne artikel.

Brug behandlingsaktivitetsmodulet i Privacy til at få styr på din rolle og hvor du har dataansvar.

Overførsler til tredjelande

I en globaliseret verden er overførsel af personoplysninger over landegrænser en almindelig handling. Det er dog vigtigt at være opmærksom på, at ikke alle lande tilbyder samme niveau af databeskyttelse som EU under GDPR. Et "usikkert tredjeland" refererer til et land uden for EU/EØS, som EU ikke har anerkendt for at have et tilstrækkeligt databeskyttelsesniveau.

Hvorfor er det vigtigt?

Overførsel af personoplysninger til et usikkert tredjeland kan indebære risici for de registreredes rettigheder og friheder, fordi disse lande måske ikke har strenge databeskyttelseslove, der svarer til GDPR's standarder. Dette kan gøre personoplysninger sårbare over for uautoriseret adgang og misbrug.

Særlig opmærksomhed er nødvendig

For at beskytte personoplysninger og overholde GDPR, er det afgørende, at organisationer udviser særlig opmærksomhed, når de overfører data til tredjelande. Dette omfatter:

Vurdering af databeskyttelsesniveauet i det pågældende land: Før en overførsel finder sted, bør en grundig vurdering udføres for at forstå, om det pågældende land tilbyder et tilstrækkeligt databeskyttelsesniveau.
Anvendelse af passende sikkerhedsforanstaltninger: Hvis landet ikke tilbyder et tilstrækkeligt beskyttelsesniveau, skal organisationen implementere passende sikkerhedsforanstaltninger. Dette kan omfatte standard kontraktbestemmelser godkendt af EU, bindende virksomhedsregler eller specifikke undtagelser i begrænsede situationer.
Transparent kommunikation: Det er vigtigt at informere de registrerede om overførslen af deres data til et tredjeland og de foranstaltninger, der er taget for at beskytte deres data.

Ved at tage disse skridt kan organisationer sikre, at de navigerer sikkert i overførsler af personoplysninger til tredjelande, beskytter de registreredes data og overholder GDPR's krav. Dette understreger organisationens engagement i databeskyttelse og styrker tilliden hos både brugere og partnere.

Bruger du nogle af de store Cloud services? Så ligger databehandleren formentlig i et usikkert tredjeland. Du kan læse mere om GDPR ift. Cloud services her.

Politikker og procedurer - fundamentet for databeskyttelse

I hjertet af enhver effektiv databeskyttelsesstrategi ligger klart definerede politikker og procedurer. Disse dokumenter er ikke blot formelle krav; de er fundamentale for at sikre, at personoplysninger håndteres ansvarligt, transparent og i overensstemmelse med gældende lovgivning som GDPR.

Vigtigheden af veldefinerede politikker og procedurer

Ved at etablere og vedligeholde omfattende politikker og procedurer sikrer en organisation, at alle medarbejdere forstår deres roller og ansvar i forhold til databeskyttelse. Dette sikrer en konsistent tilgang til håndtering af personoplysninger og hjælper med at forebygge databrud og andre sikkerhedsrisici. Desuden demonstrerer det over for regulerende myndigheder, partnere og ikke mindst brugerne, at organisationen tager databeskyttelse alvorligt og opererer med en høj grad af integritet og ansvarlighed.

Eksempel: Privatlivspolitik

Et konkret eksempel på en vigtig politik er privatlivspolitikken. Denne politik spiller en central rolle i at informere brugere om, hvordan deres personoplysninger indsamles, anvendes, beskyttes og deles af organisationen. En effektiv privatlivspolitik bør klart angive:

Formålene med dataindsamling
Kategorier af personoplysninger, der indsamles
Hvordan data anvendes og deles med tredjeparter
Brugerens rettigheder i forhold til deres data, herunder hvordan de kan tilgå, rette, eller slette deres personoplysninger
Kontaktoplysninger for yderligere spørgsmål om databeskyttelse

En veludformet privatlivspolitik sikrer ikke kun overensstemmelse med GDPR, men styrker også brugernes tillid ved at vise, at organisationen værner om deres privatliv.

Hvilke dokumenter skal du som minimum have på plads, for at være GDPR compliant? Det kan du læse mere om i vores artikel om obligatoriske GDPR dokumenter her.

Awareness og undervisning

I en tid, hvor digitale trusler og databrud bliver stadig mere sofistikerede, er det ikke nok kun at have de rette politikker og procedurer på plads. Det er lige så vigtigt at sikre, at alle i organisationen forstår deres betydning og ved, hvordan de skal handle i praksis. Awareness og undervisning om databeskyttelse er derfor afgørende for at styrke organisationens sikkerhedsstilling.

Hvorfor er awareness og undervisning vigtigt?

Forebyggelse af databrud: Medarbejdere, der er uddannede i databeskyttelse, er mindre tilbøjelige til at begå fejl, der kan føre til databrud, såsom at klikke på phishing-e-mails eller dele følsomme oplysninger uforsigtigt.
Overholdelse af lovgivning: Forståelse for GDPR og andre relevante databeskyttelseslove sikrer, at medarbejdere handler i overensstemmelse med lovgivningen i deres daglige arbejde.
Styrkelse af kunde- og brugertillid: Organisationer, der demonstrerer et klart fokus på databeskyttelse gennem uddannelse og awareness, opbygger større tillid hos kunder og brugere.

Implementering af effektiv awareness og undervisning

Regelmæssige træningssessioner: Afholdelse af regelmæssige undervisningssessioner for at sikre, at medarbejderne er opdaterede med de seneste databeskyttelsespraksisser og trusler.
Tilpassede læringsforløb: Udvikling af læringsforløb, der er tilpasset forskellige roller inden for organisationen, da forskellige afdelinger kan have brug for specifik viden om databeskyttelse.
Brug af realistiske scenarier: Anvendelse af realistiske scenarier og case-studies i træningen for at gøre læringen relevant og engagerende for medarbejderne.
Skabelse af en kultur for databeskyttelse: Fremme en organisationskultur, hvor databeskyttelse ses som en integreret del af dagligdagen, og hvor medarbejdere føler sig ansvarlige for at beskytte personoplysninger.

Er du DPO eller databeskyttelsesansvarlig i din virksomhed? Ved du at det er en af dine forpligtelser, at udsende og dokumentere awarenesstræning?

Du kan læse mere om vores DPO værktøj her.

Eller læse mere om hvad DPO'en forpligtelser egentlig er, i denne artikel.

Privacy by Design og Privacy by Default

Med principperne Privacy by Design og Privacy by Default indarbejdes databeskyttelse allerede fra starten af produktets eller tjenestens udvikling.

Privacy by Design

Privacy by Design er et vigtigt princip for behandlingen af personoplysninger, som er fastsat i artikel 25 i databeskyttelsesforordningen. Det indebærer en proaktiv tilgang til databeskyttelse, der foksuserer på risikostyring og omfatter alle aspekter af databehandlingen, herunder IT-systemer, arbejdsprocesser og fysisk infrastruktur (f.eks. hardware).

Privacy by Design kræver, at persondatasikkerheden beskyttes i hele livscyklussen for databehandling, uanset om det drejer sig om et system, et hardware- eller softwareprodukt, en tjeneste eller en proces. Det er afgørende at implementere sikkerhedsforanstaltninger tidligt i projektets faser for at sikre, at databeskyttelse bliver en integreret del af udviklingsprocessen og ikke blot bliver tilføjet senere. På den måde bliver beskyttelse af persondatasikkerheden indlejret i selve behandlingen af persondata.

Privacy by Default

Privacy by Default er et vigtigt princip, som sikrer, at produkter og tjenester allerede fra begyndelsen er indstillet til at opretholde den højeste grad af persondatabeskyttelse.

Privacy by Default kræver, at standardindstillingerne for et produkt eller en tjeneste er designet til at sikre optimal beskyttelse af personoplysninger. Dette betyder, at alle privacy-relevante indstillinger og konfigurationer er sat til at beskytte brugerens persondata som standard. Brugeren skal derefter aktivt ændre indstillingerne, hvis de ønsker at justere niveauet af privatlivsbeskyttelse.

På denne måde beskyttes persondata fra begyndelsen og er indlejret i designet og funktionen af et produkt eller en tjeneste. Privacy by Default er således et afgørende princip for at opnå høj standard for databeskyttelse og skabe tillid hos brugerne.

Efterlev principperne for databehandling

For at sikre en ansvarlig og lovlig håndtering af personoplysninger, er det afgørende for enhver organisation at efterleve de grundlæggende principper for databehandling som defineret i GDPR. Disse principper udgør kernen i databeskyttelseslovgivningen og skal guide alle aspekter af, hvordan personoplysninger indsamles, behandles og opbevares.

De Grundlæggende Principper

Lovlighed, rimelighed og gennemsigtighed: Data skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.
Formålsbegrænsning: Data skal indsamles til specifikke, udtrykkelige og legitime formål og ikke viderebehandles på en måde, der er uforenelig med disse formål.
Dataminimering: Kun den data, der er nødvendig for at opfylde de angivne formål, skal indsamles og behandles.
Korrekthed: Data skal være korrekte og, hvor det er nødvendigt, holdes opdateret.
Opbevaringsbegrænsning: Data skal opbevares på en måde, så det er muligt at identificere de registrerede i ikke længere tid end nødvendigt for de formål, hvortil personoplysningerne behandles.
Integritet og fortrolighed: Data skal behandles på en måde, der sikrer passende sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller skade, ved anvendelse af passende tekniske eller organisatoriske foranstaltninger.
Ansvarlighed: Den dataansvarlige skal være ansvarlig for, og kunne påvise overholdelse af de ovenstående principper.

Implementering i Praksis

For at efterleve disse principper bør organisationer:

Gennemføre regelmæssige databeskyttelsesvurderinger: For at identificere og minimere risici i forbindelse med databehandlingsaktiviteter.
Uddanne medarbejdere: Sikre, at alle medarbejdere forstår principperne for databehandling og deres betydning for organisationens daglige drift.
Implementere og vedligeholde passende sikkerhedsforanstaltninger: For at beskytte personoplysninger mod sikkerhedsbrud.
Opdatere politikker og procedurer: For at afspejle ændringer i lovgivning, bedste praksisser eller organisationens interne forhold.

Ved at integrere disse principper i organisationens DNA sikrer man ikke blot overholdelse af GDPR, men også at personoplysninger behandles med den største respekt og beskyttelse. Dette skaber tillid hos brugere, kunder og partnere og understøtter en kultur af databeskyttelse og -sikkerhed.

Lever du op til GDPR? Eller har du brug for hjælp til at få et overblik over det? Vores gratis Compliance årshjul kan hjælpe dig på vej.

Læs mere om Privacys gratis Compliance Årshjul her.

Hvilke aktiviteter skal du planlægge i det? Du kan starte med disse aktiviteter der var fokus på i 2023.

Sikkerhedsbrud

Hvordan håndterer du et sikkerhedsbrud?

Når det kommer til håndtering af et sikkerhedsbrud, er det vigtigt at have en klar og effektiv proces på plads. Her er nogle nøgletrin til at håndtere et sikkerhedsbrud:

Identificer et sikkerhedsbrud
Afklar omfanget af sikkerhedsbruddet og foretag en risikovurdering
Stop sikkerhedsbruddet og inddrag databehandlere
Informer de berørte og eventuelt Datatilsynet
Dokumenter alle sikkerhedsbrud

Identificer et sikkerhedsbrud

Det første skridt er at være opmærksom på og identificere, at der er sket et sikkerhedsbrud. Dette kan ske gennem overvågningssystemer, advarsler eller rapporter fra brugere eller interne ressourcer.

Afklar omfanget af sikkerhedsbruddet og foretag en risikovurdering

Det er vigtigt at forstå omfanget af sikkerhedsbruddet og evaluere de potentielle risici, der er forbundet med det. Dette indebærer at analysere, hvilke data der er blevet kompromitteret, og hvilke konsekvenser det kan have for de berørte personer og organisationen som helhed.

Stop sikkerhedsbruddet og inddrag databehandlere

Hvis det er muligt, skal I tage skridt til at standse sikkerhedsbruddet og forhindre yderligere uautoriseret adgang eller spredning af data. Det kan også være nødvendigt at inddrage relevante databehandlere eller tredjeparter for at håndtere bruddet og minimere skaden.

Informer de berørte og eventuelt Datatilsynet

Det er afgørende at informere de berørte personer om sikkerhedsbruddet og dets konsekvenser. Dette kan opfatte at give klare oplysninger om, hvilke data der er blevet kompromitteret, hvilke trin de kan tage for at beskytte sig selv, og hvordan organisationen håndterer situationen. Hvis bruddet er af en vis alvorlighed, skal det også rapporteres til Datatilsynet.

Dokumenter alle sikkerhedsbrud

Det er vigtigt at dokumentere alle detaljer om sikkerhedsbruddet, herunder tidspunktet for opdagelsen, hvilke trin der blev taget for at håndtere bruddet, og de forebyggende foranstaltninger, der blev iværksat for at undgå gentagelse. Dette sikrer en omfattende oversigt over bruddet og kan være nyttig i fremtidige undersøgelser og rapportering.