Når du har fået styr på GDPR i din virksomhed, så skal du i gang med en hverdag med GDPR.
Mange virksomheder tror, at legen er slut når man har fået styr på reglerne første gang, men i virkeligheden er GDPR kun lige begyndt. Og nej, det er ikke for sjov.
GDPR compliance
Løbende dokumentation for at databeskyttelsesforordningen efterleves
Du skal altid kunne dokumentere, at din virksomhed efterlever persondataforordningen. Dette kan indebære, at
- Du skal ajourføre GDPR-dokumentation ved ændringer i virksomheden fx hvis du starter et nyt forretningsområde, hvor du behandler personoplysninger.
- Du bør ajourføre alle kortlægninger (fortegnelsen, risikovurderinger, oversigt med informationsaktiver)
- Du bør ajourføre at vejledninger er tilstrækkelige
- Du bør løbende uddanne medarbejdere om databeskyttelse og persondataforordningens regler.
Egenkontrol: Tjek af virksomhedens efterlevelse i praksis
Du skal tjekke at reglerne efterleves i praksis fx korrekt opbevaring og sletning af personoplysninger.
Dette kan du eksempelvis gøre ½ årligt, hvis du har en mindre virksomhed, som ikke behandler mange personoplysninger.
Tilsyn med databehandlere fx årligt
Du skal løbende føre tilsyn med virksomhedens databehandlere fx årligt.
Har du en IT-leverandør, som behandler mange personoplysninger fx af følsom karakter, så skal du føre et skarpere tilsyn med denne databehandler.
Logbog over sikkerhedsbrud
Du skal føre logbog over din virksomheds sikkerhedsbrud, og vurdere om de skal anmeldes til Datatilsynet.
Hvis du eksempelvis sender en mail med personoplysninger til en forkert modtager, så har du et sikkerhedsbrud. Dette sikkerhedsbrud skal du notere i logbogen.
GDPR-tjek af nye systemer og forretningsprocesser
Du skal have styr på reglerne når du skal ansætte en ny medarbejder fx din oplysningspligt.
Du skal altså være opmærksom på reglerne for behandling af deres personoplysninger, samt hvordan behandlingen kommunikeres til de nye medarbejdere.
Onboarding: GDPR for nye medarbejdere
Du skal have styr på reglerne når du skal ansætte en ny medarbejder fx din oplysningspligt.
Du skal altså være opmærksom på reglerne for behandling af deres personoplysninger, samt hvordan behandlingen kommunikeres til de nye medarbejdere.
Herudover, så bør du indføre alle nye medarbejdere i virksomhedens behandling af persondata.
Uddannelse: GDPR for eksisterende medarbejdere
Dine medarbejdere skal efterleve reglerne i praksis. Derfor bør du løbende uddanne dine medarbejdere i GDPR, samt virksomhedens retningslinjer.
Efterlevelse af principperne for databehandling
Din virksomhed skal sikre sig, at den løbende efterlever lovgivningens principper for behandling af personoplysninger.