De fire største GDPR faldgruber

Datatilsynet har netop meldt det første danske selskab til politiet for brud på GDPR og kræver en bøde på 1,2 millioner kroner. GDPR-ekspert Kim Jensen giver dig de største faldgruber, så du kan undgå kæmpebøder.

Mange virksomheder har opbygget den nødvendige dokumentation og vedligeholder løbende denne for at efterleve reglerne, mens andre endnu ikke har styr på dem. Det kan hurtigt blive kritisk for dem, for det er nu alvor. Fire procent af den globale omsætning  så stor kan bøden blive, hvis din virksomhed ikke lever op til persondataforordningens regler om behandling af data.

- Persondataforordningen er kommet for at blive – uanset om vi kan lide det eller ej. Det kan sidestilles med kokken i køkkenet, der skal foretage egenkontrol, eller Arbejdspladsvurderingen (APV), som vi bare er nødt til at foretage, siger Kim Jensen, CEO & Partner ved Lexoforms, der udbyder et online GDPR værktøj.

Læs også: De tre største fejl du kan lave i Google Analytics

GDPR som konkurrenceparameter

Bøderne kan for mange virksomheder løbe op i mange millioner kroner, og for de rigtig store virksomheder snakker vi om bøder i et tre-cifret millionbeløb. Bøderne skal dog ikke kun være grunden til at virksomhederne aktivt arbejder med GDPR, mener Kim Jensen:

- GDPR bør vendes til en fordel, og bruges som et redskab til at skabe overblik i virksomheden og få ryddet op i systemer og data. Det er et konkurrenceparameter og en styrke udadtil, at virksomhederne også på dette område fremstår organiseret og troværdige.

Læs også: Undgå spambøder - få styr på dine permissions

Overhold reglerne

Kim Jensen har gennem sit arbejde med GDPR især stødt på fire faldgruber, som virksomhederne skal være opmærksomme på, hvis de vil overholde reglerne.

Faldgrube 1: Interne fortegnelser

Persondataforordningen kræver, at alle virksomheder udarbejder en såkaldt intern fortegnelse. En intern fortegnelse skal indeholde en lang række oplysninger, der samlet set giver et overblik over de personoplysninger, som virksomheden opbevarer og behandler. Den skal kunne videregives til Datatilsynet, hvis Datatilsynet ønsker det.

Mange virksomheder har udarbejdet den interne fortegnelse med udgangspunkt i et regneark. Et regneark er en ”død fil”, som kan blive uoverskueligt og vanskeligt for virksomheden, ja nærmest umuligt, at opdatere. Opdatering af den interne fortegnelse er også et krav til virksomheden. Derfor halter virksomhederne typisk bagefter på dette punkt.

Faldgrube 2: Virksomhederne kan ikke forholde sig til GPDR og får det derfor ikke opprioriteret

Virksomhederne har svært ved at forholde sig til persondataforordningens krav, fordi reglerne er så komplicerede og tidskrævende at sætte sig ind i. Virksomhederne har så rigeligt at se til i forvejen med bare at nå hverdagens opgaver. Når persondataforordningens komplicerede krav kommer på toppen af en i forvejen travl arbejdsdag, er det naturligt fristende at skubbe opgaven lidt foran sig og nedprioritere den.

Det er imidlertid nødvendigt at få den opprioriteret, da der ellers er en risiko for, at virksomheden kan få en bøde. Og bøderne SKAL være afskrækkende. Vigtigst af alt er dog, at virksomhedens medarbejdere bliver bekendt med, hvad personoplysninger er, og at disse skal behandles med ansvar og respekt.

Læs også: Vejen til en bedre bundlinje

Faldgrube 3: Medarbejderne er ikke klædt på

Virksomheden har en pligt til – og skal kunne dokumentere – at de giver medarbejderne en ordentlig instruktion i, hvordan de skal behandle de personoplysninger, som de får adgang til.

Det er svært for virksomhederne, fordi det er en uvant opgave. Hvordan skal opgaven gribes an? Men det er vigtigt, at virksomheden tager fat på opgaven. Ud af de ca. 3500 anmeldelser til Datatilsynet om sikkerhedsbrud siden den 25. maj 2018, er det altovervejende med baggrund i menneskelige fejl.

Faldgrube 4: Sletning

Sletning af personoplysninger i et system er en handling, der sikrer, at oplysningerne ikke længere er tilgængelige.

Sletning af personoplysninger er en udfordring for de virksomheder, som ikke har dannet sig et overblik over, hvilke personoplysninger de behandler, og hvor de opbevares. Det er vigtigt at få defineret en klar slettepolitik og løbende føre kontrol med, at slettepolitikken efterleves.

Det er et krav i persondataforordningen, at personoplysninger ikke må opbevares i et længere tidsrum end det, der er nødvendigt til de formål, hvortil personoplysningerne blev indsamlet og behandlet. Det betyder, at når personoplysninger ikke længere er nødvendige, skal de som udgangspunkt slettes eller anonymiseres.

Læs også: Undgå ulovlig brug af billeder