Helt konkret handler persondataforordningen om, at du skal have styr på sikkerheden om de personoplysninger, som din virksomhed behandler. Du skal altså blive bedre til at passe på personoplysninger.
Persondataforordningen handler ikke om at øge papirarbejdet og bureaukratiet – selvom det kan virke sådan nogle gange.
Det vigtigste, som du kan gøre ift. persondataforordningen, er at passe godt på dine kunders og ansattes data.
Formålet med denne artikel, er at give dig en bedre forståelse af tankegangen bag persondataforordningen. Dette vil forhåbentlig give dig en bedre forståelse af, hvordan du generelt bør arbejde med disse regler.
Dokumentation
Hvis du skal sikre din virksomheds informationssikkerhed i praksis, så skal du kende svaret på følgende spørgsmål:
- Behandler du personoplysninger?
- Hvilke personoplysninger behandler du?
- Hvorfor behandler du personoplysningerne?
- Hvordan behandler du personoplysningerne?
- Hvor behandler du personoplysningerne?
- Hvor længe behandler du personoplysningerne?
Det er svært at svare på ovenstående, hvis du ikke har skabt et overblik for din virksomheds behandling af personoplysninger.
Persondataforordningen vil med sine regler, derfor tvinge os alle sammen til løbende at dokumentere vores behandling af personoplysninger, så vi får et overblik.
Informationssikkerhed
Det første (og største) skridt mod at øge informationssikkerheden, er altså at dokumentere din virksomheds behandling af personoplysninger ved at lave en kortlægning heraf.
På basis af kortlægningen, så bør du vurdere, om du bør ændre på nogle processer i din virksomhed, så du bedst muligt beskytter personoplysningerne.
Hvilke processer bør min virksomhed ændre på?
Det kan være en uoverskuelig opgave at skulle ændre på etablerede arbejdsgange i sin virksomhed. Derfor er det vigtigt at prioritere arbejdet med informationssikkerheden inden du ændrer i dine processer.
Du bør prioritere dit arbejde med informationssikkerheden ved at foretage en risikovurdering
Risikovurdering
En risikovurdering er en vurdering af sandsynligheden og konsekvensen for, at du “kompromitterer” fx dine kunders personoplysninger.
Du bør lave en risikovurdering for hver proces (~behandlingsaktivitet), hvor der behandles personoplysninger fx personaleadministration, marketing, etc, samt for samtlige informationsaktiver fx regnskabssystem, mail, etc.
Kort om risikovurderingen
Kort fortalt, så foretager du en risikovurdering ved at foretage en vurdering af
- sandsynligheden for at miste personoplysninger.
- konsekvensen af at miste personoplysninger.
Sat lidt på spidsen, så kunne en risikovurdering sættes på følgende formel:
- Høj sandsynlighed + høj konsekvens = Lav en ændring i virksomhedens behandling af personoplysninger.
- Lav sandsynlighed + lav konsekvens = Status quo er ok.
Prioritering af persondatafordningen
Når du har foretaget risikovurderinger af jeres behandling af personoplysninger, så lav en plan for hvordan, at I vil prioritere jeres arbejde med persondataforordningen.
- Start med at håndtere den proces, som viste den højeste risiko i din risikovurdering.
- Afslut med at håndtere den proces, som viste den laveste risiko i din risikovurdering.
En virksomhed har naturligvis ikke endeløse ressourcer til at arbejde med persondataforordningen og informationssikkerhed. Ved at foretage en prioritering af informationssikkerheden, så sikrer du det bedste resultat for virksomheden, samt dens kunder og ansatte.
Tekniske og organisatoriske foranstaltninger
Der er ikke en “one-size-fits-all” løsning når man skal efterleve persondataforordningen. Det er gode nyheder!
Persondataforordningen kræver, at du skal indføre passende tekniske og organisatoriske foranstaltninger for at beskytte din virksomheds personoplysninger.
I skal selv vurdere hvordan en “passende” sikkerhed implementeres i virksomheden. Sikkerheden kan implementeres med en passende kombinationen af tekniske og
Hvad er passende foranstaltninger?
.Du skal ikke skyde gråspurve med kanoner, men indføre “passende” foranstaltninger.
Ved at tage udgangspunkt i resultatet af dine risikovurderinger, så har du et middel til at vurdere hvilke passende foranstaltninger du bør indføre:
- Høj risiko → betydelige foranstaltninger.
- Lav risiko → mindre betydelige foranstaltninger.
Som tidligere nævnt, så er der ikke nogen formel i den nye persondataforordning for hvordan din virksomhed skal implementere lovgivningen. Det samme gælder når du skal øge sikre din virksomhed mod tab af personoplysninger ved “organisatoriske og tekniske foranstaltninger”.
Sat på spidsen, så vil du kunne anvende 70% organisatoriske foranstaltninger og 30% tekniske foranstaltninger – eller enhver anden kombination…
Hvad er tekniske foranstaltninger?
Tekniske foranstaltninger kan fx indføres ved at øge sikkerheden i jeres it-systemer.
Eksempler på tekniske foranstaltninger:
- Anvendelse af kryptering i mail eller ved opbevaring af data.
- Krav til adgangskode fx skift af adgangskode, kompleksitet af adgangskode.
- Og meget mere.
Hvad er organisatoriske foranstaltninger?
Organisatoriske foranstaltninger kan fx indføres ved at have særlige arbejdsgange for behandlingen af fx personalesager, og ved generelt at højne viden om GDPR i virksomheden.
Eksempler på tekniske foranstaltninger:
- Procedure for tildeling af adgangsrettigheder til bestemte personoplysninger.
- Procedure for virksomhedens behandling af uopfordrede ansøgninger.
- GDPR træning af medarbejdere.
- Og meget mere.
Opsummering
Du kan komme langt i dit arbejde med persondataforordningen ved at forstå formålet med lovgivningen, og intuitionen bag alle reglerne:
- Hensigten er, at du skal skal passe på persondata.
- Dokumentationskravene er et redskab til, at din virksomhed kan håndtere sikkerheden omkring personoplysningerne.
- Dokumentationen skal aktivt anvendes til at forbedre informationssikkerheden i virksomheden, og ikke blot fungere som en papirbunke, som gør dig rædselsslagen.