8 tips: Kom i gang med persondataforordningen

1. Sæt tid og ressourcer af

At blive klar til de nye persondataregler kan være en tidskrævende proces. Sørg for at sætte tid og ressourcer af til arbejdet. Det er en god idé at inddrage ledelsen, enten direkte eller ved at udpege en medarbejder, som får ansvaret og løbende afrapporterer til ledelsen. Sørg også for at involvere de medarbejdere i huset, der bruger personoplysninger i deres daglige arbejde. Det gælder blandt andet jeres HR-medarbejdere, jeres økonomiafdeling og jeres marketingmedarbejdere.

2. Afdæk, hvordan håndterer I personoplysninger i dag

Hvilke tiltag I skal iværksætte i jeres virksomhed, afhænger af, hvordan I behandler personoplysninger i dag. Derfor bør I først og fremmest danne jer et overblik over de personoplysninger, som I behandler i jeres virksomhed i dag. Det gælder dels jeres kundedata: Hvilke oplysninger har I om jeres kunder, og hvordan opbevarer og behandler I de data? Og det gælder i lige så høj grad de oplysninger, som I har om jeres medarbejdere. Afdæk, hvor i jeres virksomhed I behandler personoplysninger, og hvad formålet med det er.
Har I leverandører, der får adgang til personoplysninger? Kortlæg, hvilke oplysninger det drejer sig om, og hvordan udvekslingen af oplysninger foregår. I er nemlig også ansvarlige for de oplysninger, som I overlader til andre.

3. Gennemgå jeres aftaler med databehandlere

Har I udliciteret jeres it-services eller lønadministration til underleverandører, skal I sørge for, at jeres aftaler modsvarer kravene om databehandleraftaler. De nye persondataregler skærper nemlig kravene til databehandlere – dvs. jeres leverandører – og til de aftaler, I har med dem. Dansk Erhverv har sammen med IT-Brancheforeningen og Dahl Advokater udarbejdet en skabelon til en databehandleraftaler, som alle medlemmer af Dansk Erhverv gratis kan benytte sig af. Find den på www.danskerhverv.dk.

4. Dokumentér, hvad I gør

Det er ikke tilstrækkeligt, at I behandler persondata efter reglerne. I skal også kunne dokumentere, at I gør det. Sørg derfor for at beskrive udførligt, hvordan I behandler personoplysninger, og hvilke it-systemer I benytter jer af. I bør desuden lave en risikovurdering af de situationer i virksomheden, hvor I behandler persondata, og beskrive, hvordan I håndterer konkrete risikoscenarier.

5. Sørg for tydelig information til de personer, I har registreret

De personer, der afgiver personoplysninger til jeres virksomhed, har ret til at vide, hvilke oplysninger I har om dem, og hvad formålet med det er. De registrerede personer har også ret til at få opdateret egne oplysninger eller helt at få slettet deres data, medmindre jeres virksomhed er retligt forpligtet til at gemme de pågældende oplysninger.

I har også pligt til at informere de registrerede personer om netop disse rettigheder på en kortfattet, letforståelig måde. Dansk Erhverv anbefaler, at I udarbejder en persondatapolitik, der beskriver de registreredes rettigheder. Har I allerede en persondatapolitik, bør I gå den igennem og opdatere den, så den modsvarer de nye regler.

6. Få styr på jeres samtykker

Persondataforordningen skærper kravene til samtykke fra de personer, der overlader oplysninger til jer. Derfor bør I gennemgå jeres eksisterende samtykketekster og sikre, at de lever op til reglerne. Det gælder for eksempel modtagerne af jeres nyhedsbrev eller markedsføring. Som noget nyt skal de registrerede personer også oplyses om, at de til enhver tid kan trække deres samtykke tilbage.

7. Få alle med

Sørg for, at alle jeres medarbejdere kender til reglerne om behandling af personoplysninger og til jeres egne politikker for, hvordan I behandler data. Lav grundige vejledninger til de medarbejdere, der håndterer personoplysninger, uanset om det gælder kunder, samarbejdspartnere og ansatte.

8. Beskyt jeres data

I er ansvarlige for, at de persondata, som I behandler, er tilstrækkeligt sikret mod tyveri, hackerangreb eller læk. Ifølge reglerne skal I sørge for ”passende sikkerhedsmæssige foranstaltninger”. Det beror på en konkret vurdering af jeres virksomhed og følsomheden af de data, som I behandler. I skal altså vurdere risikoen for læk eller angreb og konsekvenserne, hvis det sker, og tilpasse jeres sikkerhedsniveau efter det.
Sikkerhed dækker både fysisk sikkerhed (dokumenter med personoplysninger må ikke flyde på kontoret, men skal opbevares i aflåste skabe eller lignende) og teknisk sikkerhed - er jeres it-systemer opdateret og udstyret med de nødvendige sikkerhedsforanstaltninger, er jeres computere, telefoner mv. sikret mod tab af data? Få også styr på jeres procedurer for, hvem der har adgang til jeres oplysninger.