Søg Vis menu

Er din virksomhed klar til besøg fra Datatilsynet?

18. nov 2019

v/ Klaus H. Petersen

 

Det er efterhånden mere end 1 år siden (25 maj. 2018) at Databeskyttelsesforordningen eller blot GDPR trådte i kraft. Datatilsynet fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Det kan blive meget dyrt, hvis virksomheden ikke har nogle gode rutiner for opbevaring og håndtering af data. Brud kan medføre store bøder på op til 4% af virksomhedens samlede omsætning. Senest har datatilsynet politianmeldt IDdesign A/S og indstillet virksomheden til en bøde på 1,5 mio. kr. for manglende sletning af kundeoplysninger.

Hvad er god datahygiejne?

For at leve op til reglerne bør din virksomhed beskrive hvordan data håndteres. Vi kan også kalde det god data-hygiejne. En beskrivelse af hvordan både de trykte og digitale data modtages, opbevares og slettes. Der hvor det ofte går galt for mange, er sletning af data. Det handler ganske enkelt om at have gode procedurer og en god datastruktur, så data ikke flyder i virksomheden. Det gør det i øvrigt også nemmere rent tidsmæssigt at finde de relevante data, når affaldet er bortskaffet.

 

2 medarbejdere hos Bornholms Landbrug & Fødevarer er i fuld gang med at bortskaffe data.

 

Sletning

Databeskyttelsesforordningen dikterer, at man ikke må opbevare personoplysninger, så de registrerede kan identificeres længere end nødvendigt. Derfor har tilsynene bl.a. haft fokus på sletning af personoplysninger, redegørelse for procedurer for opfølgning og for sletning af oplysninger lagret i backups, hvis din virksomhed bliver kontrolleret.

Kryptering af e-mails

Siden 1. januar 2019 har det været et krav, at private virksomheder krypterer mails, som indeholder fortrolige oplysninger. Derfor har kryptering af mails også været et emne, der har fyldt i tilsynene.

  • Hvornår og til hvem virksomheden sender fortrolige og/eller følsomme personoplysninger
  • Overholdelsen af kryptering siden 1. januar 2019
  • Selve krypteringen, herunder den valgte metode og baggrunden herfor
  • Hvem der kan sende krypterede e-mails og fra hvilke adresser
  • Mailserverens opsætning (operativsystem, mailserver software, evt. tredjepartssoftware)
  • Andre sikkerhedsforanstaltninger (hvis der ikke anvendes kryptering)

Brud på persondatasikkerheden

Et af 2019’s store GDPR-temaer har været brud på persondatasikkerheden. Hvis den tendens fortsætter, skal din virksomhed være forberedt på bl.a. at kunne forholde sig til disse spørgsmål:

  • Hvem vurderer, om der er sket et sikkerhedsbrud, og om det skal anmeldes? Og hvordan vurderes det?
  • Hvilke uanmeldte brud er sket i virksomheden, og hvorfor er de ikke blevet anmeldt?
  • Hvordan, hvornår og hvor ofte er virksomhedens medarbejdere blevet instrueret i at opdage og håndtere sikkerhedsbrud?

En god egenkontrol (e-kontrol) er løsningen

Der kan være behov for en opdatering af bedriftens datapolitik og egenkontrol. Egenkontrollen bør gennemgås minimum 2 gange årligt. Særligt ved nyansættelser og fratrædelser er der et stort behov for at have fokus på GDPR, og ikke mindst introduktion til virksomhedens håndtering af data og sletning af data.

Hvis du vil vide mere.

Datatilsynet har udarbejdet en række podcasts som kan afklare en række spørgsmål. Link til podcasts findes her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2019/sep/ny-podcast-fra-datatilsynet/

Bornholms Landbrug & Fødevarer kan gennemføre bedriftens egenkontrol og sikre at din virksomhed lever op til kravene ift. GDPR. Kontakt virksomhedsrådgiver Klaus H. Petersen på telefon 5690 7843 eller mail khp@blf.dk