GDPR har været gældende siden 2018, men mange danske virksomheder har stadig huller i deres compliance. Datatilsynet fører løbende tilsyn, og bøderne kan være betydelige — op til 4% af den globale årsomsætning eller 20 mio. euro. Denne tjekliste hjælper dig med at gennemgå de vigtigste krav og identificere, hvor din virksomhed eventuelt mangler at handle.
1. Kortlægning af persondata
Det første skridt er at vide, hvilke persondata I behandler. Lav en komplet oversigt over: Hvilke typer persondata indsamler I (navne, e-mails, CPR-numre, helbredsoplysninger)? Hvor opbevares disse data (lokale servere, cloud-tjenester, papirarkiver)? Hvem har adgang til data, og hvorfor? Hvor længe opbevarer I data? Hvilke systemer og leverandører behandler data på jeres vegne?
Denne kortlægning kaldes en fortegnelse over behandlingsaktiviteter og er lovpligtig for de fleste virksomheder. Dokumentet skal holdes opdateret og kunne fremvises ved tilsyn.
2. Lovligt behandlingsgrundlag
Enhver behandling af persondata kræver et lovligt grundlag. De mest almindelige er: Samtykke (kunden har aktivt sagt ja), Kontrakt (behandlingen er nødvendig for at opfylde en aftale), Retlig forpligtelse (lovkrav, f.eks. bogføring), og Legitim interesse (virksomhedens berettigede interesse, f.eks. markedsføring til eksisterende kunder).
Gennemgå alle jeres behandlingsaktiviteter og sikr, at I har dokumenteret et gyldigt behandlingsgrundlag for hver enkelt. Vær særlig opmærksom på samtykke: det skal være frivilligt, specifikt, informeret og utvetydigt. Forud-afkrydsede bokse tæller ikke.
3. Databehandleraftaler
Når I bruger eksterne leverandører til at behandle persondata — f.eks. cloud-tjenester, e-mailsystemer, CRM-systemer, lønbureauer eller IT-leverandører — skal der være en skriftlig databehandleraftale (DPA) på plads.
Aftalen skal beskrive: Hvilke data behandles og til hvilket formål? Leverandørens forpligtelser vedrørende sikkerhed. Regler for underdatabehandlere. Rettigheder ved tilsyn og auditering. Hvad der sker med data ved aftalens ophør.
Gennemgå alle jeres leverandører og sikr, at der er opdaterede databehandleraftaler med alle, der håndterer persondata. Mange leverandører har standardaftaler klar — men I skal stadig sikre, at de er underskrevet og arkiveret.
4. Privatlivspolitik
Jeres privatlivspolitik er det primære dokument, der informerer kunder, medarbejdere og samarbejdspartnere om, hvordan I behandler deres data. Den skal være tilgængelig på jeres hjemmeside og bør indeholde:
Hvem I er (virksomhedsnavn, CVR, kontaktoplysninger). Hvilke data I indsamler og hvorfor. Behandlingsgrundlaget for hver type data. Hvem data deles med (leverandører, myndigheder). Hvor længe data opbevares. De registreredes rettigheder (indsigt, sletning, berigtigelse, dataportabilitet). Klagemuligheder til Datatilsynet.
Privatlivspolitikken skal skrives i et klart og forståeligt sprog — ikke juridisk fagjargon.
5. Medarbejderuddannelse
GDPR-compliance er ikke kun et IT- eller juridisk ansvar — det er hele organisationens ansvar. Alle medarbejdere, der håndterer persondata, bør modtage regelmæssig træning i:
Hvad persondata er, og hvorfor det er vigtigt at beskytte det. Virksomhedens interne procedurer for datahåndtering. Hvordan man genkender og reagerer på phishing-mails og sociale manipulationsangreb. Hvad man gør ved et sikkerhedsbrud eller mistanke om datalæk. Regler for brug af private enheder til arbejdsformål.
Dokumenter al træning med dato, deltagere og indhold. Det er vigtig dokumentation ved et eventuelt tilsyn.
6. Håndtering af de registreredes rettigheder
Kunder og medarbejdere har rettigheder under GDPR, som I skal kunne opfylde:
Ret til indsigt: Enhver person kan bede om at se, hvilke data I har om dem. I skal svare inden for 30 dage.
Ret til berigtigelse: Forkerte data skal rettes uden unødig forsinkelse.
Ret til sletning: Også kaldet retten til at blive glemt. Personen kan kræve sine data slettet, medmindre I har et lovligt grundlag for at beholde dem.
Ret til dataportabilitet: Personen kan bede om at få sine data udleveret i et maskinlæsbart format.
Etabler en intern procedure for, hvordan I håndterer disse henvendelser. Hvem er ansvarlig? Hvordan verificerer I identiteten? Hvor hurtigt kan I svare?
7. Sikkerhedsbrud og anmeldelse
Hvis der sker et brud på persondatasikkerheden — f.eks. et hackerangreb, tabt udstyr med persondata eller fejlsendt mail med følsomme oplysninger — har I pligt til at:
Anmelde til Datatilsynet inden for 72 timer, hvis bruddet indebærer en risiko for de registrerede. Anmeldelsen skal indeholde en beskrivelse af bruddet, antal berørte, konsekvenser og afhjælpende tiltag.
Underrette de berørte personer uden unødig forsinkelse, hvis bruddet indebærer en høj risiko for deres rettigheder og frihedsrettigheder.
Lav en beredskabsplan for databrud, der beskriver: Hvem gør hvad? Hvordan dokumenteres bruddet? Hvem kontakter Datatilsynet? Hvordan kommunikeres der til berørte personer?
8. IT-sikkerhed som fundament
GDPR kræver, at I implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger. For de fleste virksomheder betyder det som minimum:
Kryptering af data i transit og i hvile. Adgangskontrol med stærke adgangskoder og to-faktor-autentifikation. Regelmæssig backup med test af gendannelse. Opdaterede systemer med automatisk patchhåndtering. Firewall og endpoint-beskyttelse. Logning af adgang til følsomme data. Fysisk sikkerhed af servere og udstyr.
IT-sikkerhed og GDPR-compliance hænger uløseligt sammen. Uden god IT-sikkerhed kan du ikke beskytte persondata ordentligt.
9. Overførsel af data til tredjelande
Overfører I persondata til lande uden for EU/EØS? Det kan ske, uden I er klar over det — f.eks. hvis I bruger amerikanske cloud-tjenester. Siden EU-US Data Privacy Framework blev etableret, er overførsel til certificerede amerikanske virksomheder tilladt, men I bør stadig sikre, at jeres leverandører er certificerede, og at aftalen er dokumenteret.
10. Løbende vedligeholdelse
GDPR-compliance er ikke en engangsopgave. I bør have en plan for løbende vedligeholdelse: Årlig gennemgang af fortegnelsen over behandlingsaktiviteter. Regelmæssig opdatering af privatlivspolitik og databehandleraftaler. Løbende medarbejdertræning. Årlig risikovurdering af IT-sikkerheden. Test af beredskabsplanen for databrud.
Hos Cloud Zolutions hjælper vi dig
GDPR-compliance kan virke overvældende, men det behøver det ikke at være. Hos Cloud Zolutions hjælper vi danske virksomheder med den tekniske side af GDPR-compliance. Vi sørger for, at jeres IT-infrastruktur lever op til kravene: kryptering, adgangskontrol, backup, patchhåndtering og overvågning. Vi hjælper med databehandleraftaler for de IT-tjenester, vi leverer. Og vi rådgiver om, hvilke tekniske tiltag der giver mest mening for jeres specifikke situation.
Har I brug for hjælp til at få styr på GDPR i jeres IT-setup? Kontakt os for en uforpligtende snak.