Fem spørgsmål om GDPR

Og de virksomheder som allerede arbejder på et hæderligt modenhedsniveau i forhold til databeskyttelse vil opdage, at GDPR blot er en udvidelse og præcisering af hvordan, man allerede har arbejdet med persondata tidligere. Mange danske virksomheder har dog langt fra overholdt den hidtidige persondatalovgivning.

Det er derfor en rigtig god anledning til én gang for alle at få styr på datasikkerheden og generelt at få struktur på processer og rutiner relateret til persondata. Start med at forholde dig til denne liste af spørgsmål:

1. Har du styr på dine databehandleraftaler? Med dataleverandører? Med cloud-leverandører? Med servicebureauer? Og hvad med underdatabehandlere – har du styr på hele fødekæden?
2. Hvordan dokumenterer du dine dataflows i dag? GDPR stiller større krav til dokumentation og sporbarhed i forhold til fx hvor data stammer fra og hvordan deres flow er igennem forskellige leverandørled og systemer.
3. Hvordan opfylder du den registreredes rettigheder? Den registrerede person har en lang række rettigheder som skal respekteres. Fx retten til at få indsigt i sine oplysninger – eller til at få dem slettet hvis der ikke er en saglig grund til behandling.
4. Kan du påvise, at din – og dine databehandleres – databehandling er i overensstemmelse med GDPR? Det stigende dokumentationskrav udløser desuden behov for kontroller og konkrete beviser på, at der er styr på processer og systemer. Revisorerklæringer vil være stærkt anbefalelsesværdige – og for mange virksomheder en ren og skær nødvendighed. Det bør du desuden kræve af dine databehandlere.
5. Hvad vil du gøre, hvis der sker et brud på datasikkerheden? Med GDPR træder en ny bestemmelse i kraft, hvor alle brud skal dokumenteres og samtidig indberettes til Datatilsynet inden 72 timer. Men hvad gør du rent praktisk? Har du ikke allerede udarbejdet en beredskabsplan, så er det på tide! Det er kun et spørgsmål om tid, hvornår et databrud rammer din virksomhed.