GDPR – Hvad skete der så?

by Christian Kofoed

GDPR – Hvad skete der så?

by Christian Kofoed

by Christian Kofoed

Mere end 8 måneder er gået siden databeskyttelsesforordningen den 25. maj 2018 for alvor skulle anvendes. Historier er at selve forordningen faktisk allerede trådte i kraft den 24. maj 2016, men først skulle anvendes fra den 25. maj 2018. Ideen med den lange indkøring var, at alle skulle have mulighed for, at kunne leve op til forordningen når den fik sin anvendelse i maj 2018.

Men inden danske virksomheder kunne bruge forordningen, så skulle Datatilsynet udarbejde bland andet betænkninger, vejledninger og fortolkninger således, at databeskyttelsesforordningen nemmere kunne forstås og bruges i de danske virksomheder.

I perioden op til den 25. maj 2018 og en tid efter blev der desværre kørt en masse kampagner til skræk og advarsel for alle.

Nogle af disse kampagner betød, at opfattelsen hos enkelte var:

·        Det er helt umuligt at drive virksomhed med de nye GDPR-regler

·        Pas på bøderne på 4% af omsætningen

·        Man må ikke gemme nogle oplysninger

·        Man må ikke modtage ansøgninger pr e-mail

·        Alt er forbudt

·        Datatilsynet kan komme på kontrol besøge og lukke virksomheden.

·        Det er ugennemskueligt hvad man skal.

Dette er selvfølgelig ikke korrekt og slet ikke så farligt som mange har givet udtryk for. Overordnet sagt så mener vi i øvrigt ikke at det er Datatilsynet der er den farligste ”modspiller” i forbindelse med GDPR- reglerne. Vi er af den opfattelse, at dem man skal have den største respekt for er ”Sure kunder” og ”tidligere medarbejdere”. Så derfor handler det i første omgang om at få styr på hvordan man håndtere persondata om de 2 kategorier og man bruger det som afsæt til, at få styr på de øvrige persondata i virksomheden.

Vi arbejder ud fra de 9 punkter nedenfor, når vi rådgiver virksomheder om, hvordan vi ser de skal arbejde med databeskyttelsesforordningen i deres virksomhed.

1.    Få et overblik over hvor du har dine data – både de elektroniske og de fysiske.

2.    Udarbejd en fortegnelse over jeres behandling af persondata.

3.    Sørg for at have databehandleraftaler på plads.

4.    Overhold oplysningspligten til dem i behandler data omkring.

5.    Få udarbejdet nogle politikker for behandling af persondata.

6.    Arbejd med jeres datasikkerhed.

7.    Kend din risiko

8.    Orienter dit personale om jeres adfærd og omgang med persondata.

9.    Brug din sunde fornuft og tænk dig om.

Når vi arbejder med disse 9 punkter hos vores kunder, så bruger vi vores web-portal csmar.dk som støtte værktøj i processen.

Nedenfor en kort beskrivelse af de enkelte punkter:

1.        Få et overblik over hvor du har dine data – både de elektroniske og de fysiske.
Andre kalder at man kortlægger sine persondata. Vi laver en oversigt over alle IT-systemer i virksomheden herunder:

·        Hvor gemmes data lokalt, i skyen eller på en server.

·        Kan der gives brugerrettigheder og er der.

·        Kan man slette data fra systemet.

·        Kan man søge data i systemet hvis vi bliver spurgt om det.

·        Hvem er vores leverandør.

·        Har man en databehandler aftale.

Og et par ting mere.

2.        Udarbejd en fortegnelse over jeres behandling af persondata.
Man skal lave en fortegnelse over de behandlinger i virksomheden og den skal indeholde oplysninger om:


·        Formål med behandlingen af persondata

·        Kategori af registrerede persondata

·        Kategori af modtagere oplysninger videregives til

·        Oplysning om persondata overføres til tredjelande

·        Slettefrister- hvad er politikken for at gemme persondata

·        Navn og kontaktdata på den dataansvarlige


Man skal også have registreret hvilken hjemmel man har til at gemme/bruge data det vil sige hvordan man har fået lov til at arbejde med persondataene. Desuden skal man have lavet en beskrivelse af de tekniske og organisatoriske foranstaltninger man har lavet omkring sikkerheden i virksomheden. Alt sammen noget vi via csmart.dk kan hjælpe virksomhederne igennem.

3.     Sørg for at have databehandleraftaler på plads.

Alle de leverandører der behandler persondata på vegne af virksomheden, skal man have indgået en databehandler aftale med. Denne databehandleraftale skal opbevares elektronisk. Det er aftaler med f.eks. leverandøren af det lønsystem i bruger, dem der hjælper med nyhedsbreve, hvis I opsamler persondata via jeres hjemmeside, hvis ansøgninger sendes til en headhunter og i mange andre tilfælde. 

4.     Overhold oplysningspligten til dem i behandler data omkring.

Det er vigtigt at man husker at oplyse at man behandler data når man modtager nogle data. For eksempel hvis en ansøger sender en ansøgning, så er det nemt at opfylde oplysningspligten, ved at bekræfte modtagelsen og samtidig oplyse hvor længe, og hvordan man behandler de modtaget persondata. Det handler om at opsætte nogle rutiner og processer til, at hjælpe i daglig dagen.

5.     Få udarbejdet nogle politikker for behandling af persondata.
Udover fortegnelsen skal man have beskrevet nogle politikker omkring hvordan man behandler og opbevarer persondata i virksomheden. De fleste virksomheder skal have udarbejdet:

·      Persondatapolitik – beskriver håndtering af persondata i virksomheden.

·      Cookiepolitik – beskriver hvordan man arbejder man data indsamlet via cookies.

·      IT-sikkerhedspolitik – beskriver den interne IT-sikkerhed.

6.     Arbejd med jeres datasikkerhed.

Langt de fleste datatab sker på grund af manglende datasikkerhed eller respekt for datasikkerheden. Vi anbefaler derfor, at man sørger for at brugerne er instrueret i at have respekt for at de data de arbejder med, er deres data og at de skal passe på dem. 

Nogle mener, at datasikkerhed er omdrejningspunktet i GDPR og det vil jeg gerne give dem ret i. Så hvis man skaber nogle gode og sikre rammer omkring brugen af IT så er man kommet langt. Derfor bør alle kunne sige ”tjek” til følgende punkter:

·      Alle arbejdes stationer har installeret antivirus.

·      Alle arbejdes stationer kontrolleres jævnligt for at alle opdatering til operativsystemet er installeret.

·      Adgang til alle PC’ere og mobile enheder er beskyttet med kode/password.

·      Alle brugere skifter password jævnligt (lav interne regler herfor).

·      Følsomme og fortrolige data sendes krypteret (sikkert).

·      At alle i virksomheden ved hvad de skal gøre hvis de oplever et datatab.

Vi kan også tilbyde nogle produkter som kan hjælpe jeres virksomhed med at få styr på de ovennævnte punkter uden at det nødvendigvis koster en formue. Antivirus beskyttelse som samtidigt overvåger opdatering af operativsystemet kan vi levere fra kr. 22,- pr måned pr bruger (excl. moms).

7.        Kend din risiko
Alle har et svagt punkt. Find dit / dine og arbejd med dem. Ved at kende de svage punkter, så ved du også hvordan du skal agere, såfremt et af dem er årsag til at du lider et datatab.


Hvis du i din primære forretning behandler persondata i store mængder, så skal du udarbejde en konsekvens- og risikovurdering, der kortlægger, om jeres håndtering vil medføre en høj risiko for den/de registreredes rettigheder. 

I er også forpligtet til at beskrive, hvad I agter at gøre, hvis I skulle være uheldige at lække date, eller hvis en af jeres registrerede beder om indsigt i sine data. 

8.        Orienter dit personale om jeres adfærd og omgang med persondata.
Husk en jævnlig orientering om hvordan i behandler data i forskellige situationer. Det drejer sig meget om jeres adfærd og jeres respekt for de data i behandler.


Det skal ske med omtanke – der findes ingen systemer der kan klare det alene. 

Tag nogle eksempler fra pressen og snak om dem i virksomheden eller få os til at komme forbi. I vores webportal har vi også for nylig gjort det muligt at lave en liste over opgaver og kontroller man skal udføre fra tid til anden for at holde sig ajour. 

9.     Brug din sunde fornuft og tænk dig om.

I bund og grund så kommer man langt ved at bruge sin sunde fornuft og tænke sig om. Dog kræver Datatilsynet stadigvæk, at man også har udarbejdet en dokumentation, som skal foreligge elektronisk. Datatilsynet kommer ikke umiddelbart på uanmeldt besøg. Som det har været hidtil så varsler de et besøg med en frist på 3-4 uger. 

De spørger i forbindelse med varslingen, om en række dokumenter som de gerne vil have tilsendt med et kortere varsel. Brug ikke din tid på at frygte et besøge, men brug tiden på, at gøre det der skal til for at overholde reglerne.

Hvis du vil høre hvordan vi kan hjælpe dig på plads så er du velkommen til, at kontakte os på info@compliance-partners.dk eller telefon 69 1356 69.

Hjælpen ligger ikke så langt væk.

Top