GDPR-tjekliste – alt der er vigtigt at vide (INTERVIEW)

Hvad er GDPR – og hvorfor er det vigtigt for din virksomhed?

Overholdelse af GDPR er ikke kun vigtigt i forhold til at beholde dine kunders tillid. Det er også en vigtig faktor i forhold til virksomheders omdømme – og i nogle tilfælde i salgshenseende.

For hvad er konsekvensen, hvis du mister personfølsomme data om dine kunder? Og hvordan vil dine kunder reagere?

Det kan opsummeres i ét ord.

Tillidsbrud!

… og for nogen virksomheder også en økonomisk lussing!

Da GDPR for mange er lettere uoverskueligt – men samtidig nødvendigt – har jeg taget en snak med René Nørbjerg, RN Consulting, der er specialist og ekspert indenfor GDPR og EU-Persondataloven.

I dette interview har vi talt om:

Denne artikel er en del af en serie af artikler, hvor vi interviewer Effihub kunder om relevante og spændende emner, der skaber værdi for andre konsulenter, kreative bureauer og freelancere.

Skriv til os, hvis du har et aktuelt emne.

Hvorfor blev persondataforordningen indført?

GDPR-og-privatlivspolitik-i-effihub

Hvad er GDPR?

GDPR står for General Data Protection Regulation. Det kaldes også for Persondataforordningen eller Databeskyttelsesforordningen.

Det er en forordning, der blev indført af EU med virkning fra den 25. maj 2018, der har fokus på, hvordan virksomheder opbevarer og beskytter persondata. Formålet er, at sikre borgernes rettigheder samt gør det lettere for europæiske virksomheder at holde styr på reglerne.

I takt med at vi er trådt ind i den digitale tidsalder, og mange virksomheder samarbejder på tværs af landegrænser – eller har afdelinger i flere lande – er behovet for at ensrette kravene til datasikkerhed steget.

René Nørbjerg fortæller, at der op gennem 00’erne var flere og flere sager, hvor der opstod tvivl om håndteringen af persondata. Fx havde mange virksomheder afdelinger i flere lande, og som René siger, så skulle virksomhederne tage stilling til, at deres kunders data blev håndteret forskelligt i de forskellige lande: ”Hov, hvordan opbevarer man data i Indien, og hvad gør vi med vores borgeres data her i EU?”

Indførelsen af Databeskyttelsesforordningen i 2018 betød at reglerne blev ensrettet inden for EU – og markant mere besværligt uden for EU.

Med Brexit er det blevet højaktuelt igen.

”Efter Brexit er England at sammenligne med Indien, det vil sige et 3. verdensland i forhold til GDPR! Når data opbevares inden for EU, så er du en del af et ’sikkert land’. Uden for EU derimod skal du have en særlig, individuel aftale med firmaet.”
RN Consulting
René Nørbjerg
RN Consulting

Hvorfor er GDPR vigtigt?

”Som personer ejer vi data om os selv, og vi har ret til at bestemme, hvem der har indsigt i hvad”, siger René og fortsætter: ”Det vil sige, at vi kan sige fra overfor leverandører og stille spørgsmålet: Hvad skal du bruge mine data til? Og hvorfor er de væsentlige for dig?”

Selvom det er et lovkrav at overholde GDPR, så er det stadig en øm tå for mange virksomheder at udføre det i praksis.

Da jeg spurgte René, hvad nye kunder især spørger ham om ift. GDPR, var svaret prompte: ”Hvor lidt kan vi slippe med at udføre?” eller ”Hvad hedder minimumsmodellen?”

Og minimumsmodellen når I er dataansvarlige er, at I:

Er alle virksomheder omfattet af GDPR?

”Ja, GDPR er ens for alle, uanset om du har en lille virksomhed, en NGO, en forening eller en stor international organisation.”

Så snart du køber og sælger noget og har interaktion med kunder, inklusive privatejede virksomheder, så er du omfattet af GDPR.

Hvad er Datatilsynet? Og hvornår kommer de – hvis de gør?

Datatilsynet er en central uafhængig myndighed, hvis ansvar det er at føre tilsyn om datapolitikken i virksomheder overholdes.

De har indtil videre kun været ude hos større virksomheder, der har mange transaktioner eller kunder igennem.

Hvad er konsekvensen, hvis virksomheden ikke overholder GDPR?

I den yderste konsekvens så koster det op til 4 % af en virksomheds årlige omsætning. I disse tilfælde så er bøden typisk så høj, når virksomheden har beskrevet ét og gjort noget andet fx i forbindelse med deres slettepolitik.

Og det kan blive en dyr fornøjelse!

slettepolitik ikke overholdt jf GDPR

Taxafirmaet 4×35 fik i 2019 en bøde på 1,2 mio.kr. 

Det var den første danske sag, hvor Datatilsynet politianmeldte og indstillede en virksomhed til en bøde for brud på forordningen. Årsagen var, at kundernes telefonnumre ikke blev slettet efter 2 år (som de havde oplyst) men først efter 5 år.

På det tidspunkt hvor Datatilsynet var på besøg hos 4×35, havde de 8.873.333 personhenførbare taxature, der var ældre end 2 år… og dermed ulovlige at opbevare data om.

Hvis du er nysgerrig efter at vide, hvilke danske virksomheder der har fået bøder i forbindelse med GDPR, så kan du her se, hvem der har fået bøder i Europa (inklusive danske virksomheder) – og størrelsen af dem.

– Og som René siger: ”Når først virksomheden er kommet i denne oversigt, så forsvinder den ikke igen… og man kan bare håbe på, at man hurtigt kommer over på side 2, hvor man er mindre synlig”.

”Mit drømmescenarie vil være, at virksomheder skal sætte deres GDPR-fortegnelser ind på virk.dk ligesom et årsregnskab. Så kan man sætte en lille kontorrobot til at scanne, om de er udfyldt korrekt. Datatilsynet kan så bruge deres tid på de virksomheder, der ikke opfylder det ordentligt. Lidt som en smileyordning som man kunne følge og tage fat i dem, som hænger i bremsen eller ikke har lagt noget ind.”
RN Consulting
René Nørbjerg
RN Consulting

Når først persondatapolitikken er udarbejdet – er jeg så færdig?

Ja og nej. Som René Nørbjerg siger: ”Så har du lavet version 1.0!”

Det er dit ansvar at føre tilsyn med dine databehandlere og sikre at ændringer i procedurer bliver opdateret. Har en databehandler fx haft databrud eller lavet ny databehandleraftale med en anden underleverandør. Så skal man have mulighed for at skifte aftale, inden de skifter leverandører.

”I en mindre virksomhed vil jeg anbefale, at I opdaterer jeres GDPR fx 1-2 dage om året. Sæt det ind i et årshjul og gennemgå jeres databehandleraftaler og sikkerhedsprocedurer”, anbefaler René Nørbjerg

Tjekliste og vejledninger til GDPR

Kan vi selv udarbejde GDPR, så det opfylder lovkravene?

Ja du kan sagtens lave det selv. På Datatilsynets hjemmeside kan du finde alle de vejledninger og skabeloner, du har brug for.

Hvad er dine bedste råd i forbindelse med GDPR?

René: ”Det allerbedste råd er at træffe en beslutning; Vil jeg det her, eller vil jeg ikke. Jeg tror, 80-20 reglen gælder her. 80 % af de virksomheder jeg taler med siger: Datatilsynet kan bare komme – så snupper jeg den bøde”.

Men for dem der godt kan se fordelene i at arbejde målrettet med GDPR (udover at det rent faktisk er et lovkrav), så er disse input fra René de vigtigste at tage stilling til i forbindelse med GDPR:

  1. Hvilke persondata opbevarer I – og hvad bruger I oplysningerne til?
    Her gælder det både data om kunder, medarbejdere, besøgende på hjemmesiden, m.m.
  2. Hvor og hvordan opbevarer I persondata?
    Her skal I både tænke over data, der opbevares i it-systemer og fysisk fx i reoler og arkiver?
  3. Opret databehandleraftaler
    Sørg for, at I har databehandleraftaler med alle jeres databehandlere.
  4. Hvilke slettepolitikker har I, og hvordan virker de i praksis?
    Dette er noget, af det væsentligste i GDPR.

For at se de eksakte krav fra Datatilsynet – se denne liste. 

”Jeg tror, at noget af det værste der kan ske er, hvis Datatilsynet kommer på besøg, og man har sagt ét og gjort noget andet.”
RN Consulting
René Nørbjerg
RN Consulting
RN-consulting udtalelse

OM RN Consulting

RN Consulting er ejet af René Nørbjerg, der siden 2013 har hjulpet virksomheder fra 4-250 ansatte med procesoptimering, projektledelse, bestyrelsesarbejde samt udarbejde og kvalitetssikre deres GDPR-processer.

Vil du vide mere om GDPR?
Er du i tvivl om din virksomhed lever op til persondataforordningen, eller vil du have hjælp til at opfylde GDPR – så læs mere på RN Consulting. 

Vil du have flere artikler som denne?

Tilmeld dig vores nyhedsbrev og få besked, når vi publicerer nye artikler, der hjælper dig med at drive en effektiv forretning.

Picture of Cathrine Herskind-Carlsen

Cathrine Herskind-Carlsen

Cathrine er medstifter, partner og CMO i Effihub. Hun har i en årrække arbejdet med visuel kommunikation, brugeroplevelser, webdesign og markedsføring. Cathrine elsker at optimere indhold og kommunikation - og se kunderne få succes med deres forretning.
Indhold
E-bog-klippekort-metoden-popup.jpg

Den fuldstændige guide

Sådan får du succes med klippekort

Hent guiden til webdesignere og kreative, der vil fakturere mere tid og have glade kunder.
Du bliver samtidig tilmeldt vores nyhedsbrev og accepterer vores privatlivspolitik.