Persondata: 5 trin gør din virksomhed klar
25. maj træder EU’s nye lov for håndtering af persondata i kraft. Her er Dansk Industris guide til en plan for at få procedurerne på plads.
1: PLANLÆGNING
- Nedsæt en projektgruppe, og udpeg en projektansvarlig.
- Ansvarlige for it, HR og jura skal være med og sikres en basisviden om persondataforordningen.
- Fastlæg niveau af implementering: Fuldt eller ud fra risiko på udvalgte områder.
- Få grønt lys fra direktion samt tid og penge.
- Læs for eksempel DI’s vejledning: ”Persondataforordningen – i kort form”
2: ANALYSE AF DATASTRØM
- Afdæk processer med personoplysninger og processer med behov for spørgeskemaer.
- Anvend DI’s ”Vejledning om procesafdækning”
- Interview relevante afdelinger og udfyld spørgeskemaer.
- Anvend DI’s standardspørgeskema for blandt andet at afdække:
- Hvilke personoplysninger behandler I og hvorfor?
- Informerer I de personer, I har oplysninger om?
- Sletter I oplysninger – og hvornår?
3: ANALYSE AF SPØRGESKEMAER
- Er der huller i jeres behandling af persondata
- (en GAP-analyse).
- GAP-analysen identificerer de områder, hvor reglerne ikke overholdes.
- Fastlæg det implementeringsniveau I har tid og penge til.
- Vælg hvilke tiltag, der skal prioriteres og implementeres. Og hvilke der er behov for i forhold til persondataforordning.
- Se DI’s oversigt over typiske fejl
4: IMPLEMENTERING
- Skriv og tilpas de nødvendige dokumenter. Eksempelvis: retningslinjer for behandlingen af personoplysninger, samtykketekster, privatlivspolitikker og databehandleraftaler.
- Udarbejd beredskabsplaner til at håndtere sikkerhedsbrud.
- Indgå (nye) aftaler med databehandlere, for eksempel leverandører af it-systemer, og eventuelle dataansvarlige, som I behandler personoplysninger for.
- Tilpas it-systemer til for eksempel sletning og håndtering af registreredes rettigheder.
5: DOKUMENTATION OG PROCEDURE
- Dokumentér, hvordan I overholder persondataforordningen.
- Undervis medarbejdere, der behandler personoplysninger.
- Indarbejd fortrolighedsklausuler i ansættelseskontrakter.
- Indfør årshjul med løbende kontrol og interne inspektioner af databehandling.
- Udarbejd fortegnelser over personoplysninger.
- Se: bit.ly/didokumentation under ”værktøjer”.