Hvad er GDPR – og hvorfor er det vigtigt for din virksomhed?
Overholdelse af GDPR er ikke kun vigtigt i forhold til at beholde dine kunders tillid. Det er også en vigtig faktor i forhold til virksomheders omdømme – og i nogle tilfælde i salgshenseende.
For hvad er konsekvensen, hvis du mister personfølsomme data om dine kunder? Og hvordan vil dine kunder reagere?
Det kan opsummeres i ét ord.
Tillidsbrud!
… og for nogen virksomheder også en økonomisk lussing!
Da GDPR for mange er lettere uoverskueligt – men samtidig nødvendigt – har jeg taget en snak med René Nørbjerg, RN Consulting, der er specialist og ekspert indenfor GDPR og EU-Persondataloven.
I dette interview har vi talt om:
- Hvorfor blev persondataforordningen indført?
- Hvorfor er GDPR vigtigt?
- Er alle virksomheder omfattet af GDPR?
- Hvad er Datatilsynet? Og hvornår kommer de – hvis de gør?
- Hvad er konsekvensen, hvis virksomheden ikke overholder GDPR?
- Når først persondatapolitikken er udarbejdet – er jeg så færdig?
- Tjekliste og vejledninger til GDPR
Denne artikel er en del af en serie af artikler, hvor vi interviewer Effihub kunder om relevante og spændende emner, der skaber værdi for andre konsulenter, kreative bureauer og freelancere.
Skriv til os, hvis du har et aktuelt emne.
Hvorfor blev persondataforordningen indført?
Hvad er GDPR?
GDPR står for General Data Protection Regulation. Det kaldes også for Persondataforordningen eller Databeskyttelsesforordningen.
Det er en forordning, der blev indført af EU med virkning fra den 25. maj 2018, der har fokus på, hvordan virksomheder opbevarer og beskytter persondata. Formålet er, at sikre borgernes rettigheder samt gør det lettere for europæiske virksomheder at holde styr på reglerne.
I takt med at vi er trådt ind i den digitale tidsalder, og mange virksomheder samarbejder på tværs af landegrænser – eller har afdelinger i flere lande – er behovet for at ensrette kravene til datasikkerhed steget.
René Nørbjerg fortæller, at der op gennem 00’erne var flere og flere sager, hvor der opstod tvivl om håndteringen af persondata. Fx havde mange virksomheder afdelinger i flere lande, og som René siger, så skulle virksomhederne tage stilling til, at deres kunders data blev håndteret forskelligt i de forskellige lande: ”Hov, hvordan opbevarer man data i Indien, og hvad gør vi med vores borgeres data her i EU?”
Indførelsen af Databeskyttelsesforordningen i 2018 betød at reglerne blev ensrettet inden for EU – og markant mere besværligt uden for EU.
Med Brexit er det blevet højaktuelt igen.
Hvorfor er GDPR vigtigt?
”Som personer ejer vi data om os selv, og vi har ret til at bestemme, hvem der har indsigt i hvad”, siger René og fortsætter: ”Det vil sige, at vi kan sige fra overfor leverandører og stille spørgsmålet: Hvad skal du bruge mine data til? Og hvorfor er de væsentlige for dig?”
Selvom det er et lovkrav at overholde GDPR, så er det stadig en øm tå for mange virksomheder at udføre det i praksis.
Da jeg spurgte René, hvad nye kunder især spørger ham om ift. GDPR, var svaret prompte: ”Hvor lidt kan vi slippe med at udføre?” eller ”Hvad hedder minimumsmodellen?”
Og minimumsmodellen når I er dataansvarlige er, at I:
- fører en Intern fortegnelse over, hvordan I opbevarer persondata, og hvad formålet er med det.
- har en procedure for og efterlever de registreredes rettigheder til bl.a. at få indsigt i og slettet deres oplysninger.
- laver en risikovurdering af behandlingen af persondata og en beskrivelse af de forholdsregler I truffet for at beskytte denne data.
- har oprettet databehandleraftaler med de databehandlere, der behandler personoplysninger på jeres vegne.
- kan dokumentere jeres processer i forbindelse med databeskyttelse.
Er alle virksomheder omfattet af GDPR?
”Ja, GDPR er ens for alle, uanset om du har en lille virksomhed, en NGO, en forening eller en stor international organisation.”
Så snart du køber og sælger noget og har interaktion med kunder, inklusive privatejede virksomheder, så er du omfattet af GDPR.
Hvad er Datatilsynet? Og hvornår kommer de – hvis de gør?
Datatilsynet er en central uafhængig myndighed, hvis ansvar det er at føre tilsyn om datapolitikken i virksomheder overholdes.
De har indtil videre kun været ude hos større virksomheder, der har mange transaktioner eller kunder igennem.
Hvad er konsekvensen, hvis virksomheden ikke overholder GDPR?
I den yderste konsekvens så koster det op til 4 % af en virksomheds årlige omsætning. I disse tilfælde så er bøden typisk så høj, når virksomheden har beskrevet ét og gjort noget andet fx i forbindelse med deres slettepolitik.
Og det kan blive en dyr fornøjelse!
Taxafirmaet 4×35 fik i 2019 en bøde på 1,2 mio.kr.
Det var den første danske sag, hvor Datatilsynet politianmeldte og indstillede en virksomhed til en bøde for brud på forordningen. Årsagen var, at kundernes telefonnumre ikke blev slettet efter 2 år (som de havde oplyst) men først efter 5 år.
På det tidspunkt hvor Datatilsynet var på besøg hos 4×35, havde de 8.873.333 personhenførbare taxature, der var ældre end 2 år… og dermed ulovlige at opbevare data om.
Hvis du er nysgerrig efter at vide, hvilke danske virksomheder der har fået bøder i forbindelse med GDPR, så kan du her se, hvem der har fået bøder i Europa (inklusive danske virksomheder) – og størrelsen af dem.
– Og som René siger: ”Når først virksomheden er kommet i denne oversigt, så forsvinder den ikke igen… og man kan bare håbe på, at man hurtigt kommer over på side 2, hvor man er mindre synlig”.
Når først persondatapolitikken er udarbejdet – er jeg så færdig?
Ja og nej. Som René Nørbjerg siger: ”Så har du lavet version 1.0!”
Det er dit ansvar at føre tilsyn med dine databehandlere og sikre at ændringer i procedurer bliver opdateret. Har en databehandler fx haft databrud eller lavet ny databehandleraftale med en anden underleverandør. Så skal man have mulighed for at skifte aftale, inden de skifter leverandører.
”I en mindre virksomhed vil jeg anbefale, at I opdaterer jeres GDPR fx 1-2 dage om året. Sæt det ind i et årshjul og gennemgå jeres databehandleraftaler og sikkerhedsprocedurer”, anbefaler René Nørbjerg
Tjekliste og vejledninger til GDPR
Kan vi selv udarbejde GDPR, så det opfylder lovkravene?
Ja du kan sagtens lave det selv. På Datatilsynets hjemmeside kan du finde alle de vejledninger og skabeloner, du har brug for.
Hvad er dine bedste råd i forbindelse med GDPR?
René: ”Det allerbedste råd er at træffe en beslutning; Vil jeg det her, eller vil jeg ikke. Jeg tror, 80-20 reglen gælder her. 80 % af de virksomheder jeg taler med siger: Datatilsynet kan bare komme – så snupper jeg den bøde”.
Men for dem der godt kan se fordelene i at arbejde målrettet med GDPR (udover at det rent faktisk er et lovkrav), så er disse input fra René de vigtigste at tage stilling til i forbindelse med GDPR:
- Hvilke persondata opbevarer I – og hvad bruger I oplysningerne til?
Her gælder det både data om kunder, medarbejdere, besøgende på hjemmesiden, m.m. - Hvor og hvordan opbevarer I persondata?
Her skal I både tænke over data, der opbevares i it-systemer og fysisk fx i reoler og arkiver? - Opret databehandleraftaler
Sørg for, at I har databehandleraftaler med alle jeres databehandlere. - Hvilke slettepolitikker har I, og hvordan virker de i praksis?
Dette er noget, af det væsentligste i GDPR.
For at se de eksakte krav fra Datatilsynet – se denne liste.
OM RN Consulting
RN Consulting er ejet af René Nørbjerg, der siden 2013 har hjulpet virksomheder fra 4-250 ansatte med procesoptimering, projektledelse, bestyrelsesarbejde samt udarbejde og kvalitetssikre deres GDPR-processer.
Vil du vide mere om GDPR?
Er du i tvivl om din virksomhed lever op til persondataforordningen, eller vil du have hjælp til at opfylde GDPR – så læs mere på RN Consulting.