Kontakt

Hjem Ydelser

Artikler fra Rene Nørbjerg

Hjem   Alle Artikler 

Hvad skal der være styr på inden et besøg af Datatilsynet?

RN-Consulting Baggrundsbillede

Hvad skal der være styr på inden et besøg af Datatilsynet?

Nedenstående artikel er en tjekliste til hvad I som virksomhed skal have styr på inden I får besøg af Datatilsynet. Samtidig er det et godt input til jeres salgs- og markeringsførings kampagne at kunne fortælle de kunder, der spørger til GDPR, at det har I styr på.

Jeg har hørt om kunder, der bruger det aktivt overfor kunder, derudover er det kun et spørgsmål om tid før flere virksomheder indarbejder i deres krav ved tilbud, at du skal have styr på din GDPR/ EU-Persondata. Oversigt over hvad der skal være styr på, inden Datatilsynet kommer på besøg. Når Datatilsynet kommer på besøg, uanset om det er anmeldt som et “planlagt tilsyn”; eller det er et uanmeldt besøg, kaldet “Ad hoc tilsyn”.

Ja, så er det vigtigt, at medarbejderne lige fra receptionen til nyeste ansatte ved hvad de skal gøre og ikke mindst svare, når Datatilsynet melder sig i receptionen og begynder at stille spørgsmål. Det kunne som min. være følgende 8 områder, der løbende er tænkt over, og dermed er på plads inden besøget. Der er i denne tekst ligeledes eksemplar på nogle af de spørgeskemaer, som Datatilsynet indtil videre har anvendt.

Typisk er det jo nemmere at forebygge og dermed være klar til besøget, fremfor at være på hælene fra der bliver sagt: ”Goddag vi er fra Datatilsynet, (incl. fremvisning af legitimation), vi vil gerne gennemføre et ad hoc besøg hos jer for at se jeres GDPR-dokumenter samt processer”.

1) Hvem skal kontaktes og være den gennemgående person, der hjælper Datatilsynet med, at få svar på deres spørgsmål.? Hvis I har en DPO (Data Protection Officer) skal denne person altid adviseres om besøget.

a) Bilag 1- oplysningsskema-private-virksomheder-dpo-tilsyn

b) Bilag 2- oplysningsskema-offentlige-myndigheder-dpo-tilsyn

2) Hvor kan Datatilsynet sidde, uforstyrret mens de er på besøg i virksomheden?

a) Datatilsynet skal have et lokale, hvor de kan udføre deres arbejde, incl. møder

3) Hvilken information skal sendes ud til alle medarbejdere i virksomheden, samt hvornår i forhold til besøget? tekst kan med fordel udarbejdes inden besøget

a) Der skal informeres om formål med besøget om det er varslet, hvem der skal interviews og ikke mindst hvem den enkelte medarbejder skal kontakte ved spørgsmål

4) Hvor findes virksomhedens materiale vedr. GDPR / EU- Persondataloven. *. Herunder med hvilken hjemmel indsamler I disse oplysninger for alle IT-systemer og manuelle processer, f.eks. ansøgninger, der printes og anvendes til samtaler med kandidater.

a) Bilag 3- spørgsmål-vedr.-sletning-af-oplysninger-fra-rekrutteringsforløb

b) Bilag 4- spørgeskema-sletning

c) Bilag 5- spørgeskema-retshåndhævelse

5) Hvordan er processen for oprettelser og ophør af rettigheder for medarbejders adgang til IT-systemer, adgangskort, VPN, mobiltelefoner og lign. som kan hente virksomhedens data fra eller svare kunderne på sociale medier som repræsentant for virksomheden.

a) Bilag 6- spørgeskema-vedr. -autorisation-af-medarbejdere

6) Log fil eller lign. der viser processen over hvad I som virksomhed gør fra I opdager et databrud til det eventuelt er anmeldt til Datatilsynet. Denne log skal ligeledes indeholde en oversigt over hvor mange gange I har opdaget et databrud samt hvad, der har forsaget dette samt hvad I har gjort for at forebygge dette, f.eks. hvordan processen er rettet til, hvilken efteruddannelse af medarbejdere, der er gennemført eller lign.

a) Bilag 7- spoergeskema-vedr-brud-paa-persondatasikkerheden-hos-offentlige-myndigheder-og-private-virksomheder

7) Hvordan er jeres e-mails krypteret og hvordan sender I følsomme oplysninger? f.eks. dokumenter indeholdende CPR-numre (ansættelseskontrakter eller opsigelser) vil være umiddelbart også have en stor interesse for Datatilsynet at få kendskab til, altså hvordan I helt præcist gør det.

a) Bilag 8- spørgeskema-vedr. kryptering

8) Fremvisning af plan for opfølgning på ovenstående punkter, gerne i et samlet årshjul, hvor der kan ses hvem der er ansvarlige for hvilke aktiviteter og hvornår på året, de forskellige opfølgningsaktiviteter er planlagt til at blive gennemført.

a) Bilag 9- Skabelon for årshjul

Når I har været ovenstående punkter igennem og har fået gjort materialet klar. Så vil det være en rigtig god idé at gennemføre en test for at se om alle der har en opgave eller ansvar i forbindelse med et besøg af Datatilsynet ved hvad de skal gøre.

* Hvad skal du have styr på i forhold til persondataforordningen?

Nedenstående er den korte liste over hvad du som minimum, dokumentationsmæssigt skal have styr på i forbindelse med GDPR / EU-Persondataloven.

  • Kortlægning af systemer, arkiver:
    • Hvilke it-systemer og fysiske arkiver anvendes i virksomheden
    • Personkategorier (kunder, ansatte, leverandører)
    • Persondatatyper (almindelige, fortrolige, følsomme)
    • Beskrive formålene med behandling af persondata
    • Angive hjemmel for behandling af persondata (samtykke, aftale, lovgivning mv.)
    • Hvilke interne brugere/brugergrupper har adgang til data
    • Hvilke evt. eksterne modtagere deles data med (databehandler, skat, kommune, feriekonto, bank, pension mv.
  • Angive en slettepolitik for alle persondata (hvornår slettes data)
  • Databehandleraftaler skal udarbejdes og gemmes (som dataansvarlig og evt. som databehandler)
  • Medarbejderinstruks – dette dækker området organisatoriske sikkerhedsforanstaltninger (awareness til medarbejdere)
  • Oplysningspligt (privatlivspolitik) til kunder, ansatte, ansøgere, hjemmeside mv.
  • Sikkerhedsbeskrivelse – vedr. de tekniske sikkerhedsforanstaltninge
  • Cookiepolitik på hjemmesiden
  • Risiko- og konsekvensvurdering
  • Oprettelse af kontroller til sikring af opdateret dokumentation
  • Evt. udarbejdelse af samtykke til anvendelse hvor det er krævet
  • Hændelser, håndtering samt dokumentering af de sikkerhedsbrud, der måtte være opstået samt anmeldt
  • Udarbejde den lovpligtige interne fortegnelse over behandlingsaktiviteter

Afrunding og lidt om RN Consulting

Tak for at du læste med hertil.

Står du nu tilbage med et spørgsmål eller to vedr. GDPR / EU-Persondataloven eller et spørgsmål vedr. procesoptimering, skal du være meget velkommen til at kontakte mig for en nærmere dialog til løsning af dine udfordringer.

Til sidst vil jeg da gerne høre hvad du efter du har læst denne artikel samt tjeklisten tænker i forhold til egen virksomhed. Er du klar til et besøg af Datatilsynet eller mangler der lidt endnu.?

Samarbejde med RN Consulting

Når du indgår et samarbejde med mig, så kan du være sikker på at få en projektleder og sparringspartner, som er målrettet, planlægningsorienteret og fokuseret på implementering af den enkelte opgave.

For mig er det en selvfølgelig at en aftale overholdes, også vedr. overholdelse af aftaler på økonomi og kvalitets-områderne.
Picture of Rene Nørbjerg
Rene Nørbjerg

Siden 1996 har jeg arbejdet med ledelse, processer og projekter, herunder bl.a. med udvikling af kompetencer hos medarbejderne i de afdelinger, hvor jeg har ansvaret for implementering af forskellige projekter.

Services

Udpluk af mine kunder

postdanmark
Postdanmark
Nordea
Nordea
CPH Privathospital
CPH Privathospital
Power Jobsøgerne
Power Jobsøgerne
EWORK Group
EWORK Group
Velux
VELUX
Socialeer
Socialeer
bec
bec
HK
HK
HeloGroup
HELO Group
Danske-Bank
Danske-Bank

Kontakt

rene@rnconsulting.dk
93 86 06 80
Cookiepolitik og Privatlivspolitik
Forretningsbetingelser

Kontakt

rene@rnconsulting.dk
93 86 06 80
Cookiepolitik og Privatlivspolitik
Forretningsbetingelser

© RN Consulting