Vejen til overensstemmelse med persondataforordningen

5. april 2018
Vejen til GDPR-compliance

Vejen til overholdelse af EU’s persondataforordning kan være lang og kringlet, hvis ikke du har en plan eller nogle retningslinjer at læne dig op ad. Påbegynd processen nu og bliv GDPR-compliant til d. 25. maj 2018.

Vejen til GDPR-compliance

Persondataforordningen er lige på trapperne. Med forordningen følger en række nye krav til, hvordan du som virksomhed behandler og lagrer data om EU-borgere. Den store udfordring ligger i at dokumentere og sikre, at jeres virksomhed er GDPR-compliant før forordningens indtrædelse.

Læs mere om hvad persondataforordningen indeholder her »

Hvad skal du gøre for at blive GDPR-compliant?

For at blive GDPR-compliant anbefaler Microsoft, at I som virksomhed gennemgår fire overordnede trin i jeres GDPR-rejse: Discover, Manage, Protect, Report.

  Discover: Identificér persondata som indsamles og hvor data lagres/behandles

Få overblik over de forskellige typer af persondata, din virksomheden lagrer eller behandler. Her skelner man mellem personhenførbare data samt særligt følsomme personoplysninger. Personhenførbare data kan være navn, adresse, e-mailadresse samt IP-adresse. Særligt følsomme personoplysninger kan inkludere data om religion, sundhed samt seksuel og politisk overbevisning. Derudover skal der identificeres, hvor disse data indsamles og lagres.

  Manage: Håndtér hvordan og af hvem persondata tilgås, behandles og slettes

Her defineres politikker, roller og ansvar for håndtering og brug af persondata. I dette arbejde er det for eksempel væsentligt at få fastlagt, hvordan virksomheden opnår accept om brug af data, hvordan data slettes eller rettes samt proceduren for adgang til data.

  Protect: Etablér kontroller som forebygger, opdager og håndterer sårbarheder og databrud

I denne proces skal der fastlægges, hvordan I som virksomhed kan forebygge dataangreb. Er der tilstrækkelig sikkerhed omkring jeres datacenter, netværk, lager og computere? I tilfælde af databrud, skal virksomheder også fastlægge, hvad proceduren er for at opdage og håndtere disse.

  Report: Foretag nødvendig dokumentation og håndtér dataforespørgsler

Virksomheder skal kunne dokumentere formålet med behandlingen af data, klassifikation af persondata, tredjepartens adgang til data osv. Derudover skal der implementeres rapporterings- og dokumentationsværktøjer, såsom audit-logs og databruds-notifikationer.

Hvis det har interesse, er trinene beskrevet yderligere her.

Er NaviPartner din databehandler?

I databeskyttelsesforordningen skelner man mellem dataansvarlig og databehandler.

Det er vigtigt at skelne mellem de to definitioner, idet der er forskellige krav afhængig af hvilken man repræsenterer. Som dataansvarlig er det som udgangspunkt din virksomhed, som har ansvaret for, at behandlingen af personoplysninger lever op til forordningen.

Hvis NaviPartner er din virksomheds databehandler, er det et juridisk krav at der findes en underskrevet databehandleraftale mellem din virksomhed og NaviPartner. I den forbindelse har vi udarbejdet en databehandleraftale, der sikrer jeres virksomhed som dataansvarlig, NaviPartner som jeres databehandler og i sidste ende det persondata, I opbevarer i jeres hostede løsninger fra NaviPartner. Du kan hente aftalen nedenfor.

Vær opmærksom på at databehandleraftalen først er gyldig, når den er sendt i underskrevet tilstand til gdpr@navipartner.dk.

NaviPartners databehandleraftale

Hent NaviPartners databehandleraftale

Er NaviPartner din databehandler? Så er det vigtigt at du henter vores databehandleraftale, der skal sikre jer som dataansvarlig, NaviPartner som databehandler og i sidste ende dine kunders persondata.

Hent databehandleraftale