GDPR-trappen
GDPR-trappen™ er en veltilrettelagt genvej til god databeskyttelse og høj informationssikkerhed.
GDPR-trappen er baseret på Datatilsynets to identiske koncepter “GDPR-Universet for små virksomheder” og “GDPR-Universet for små foreninger.”
Når du følger Datatilsynets syv trin, så er du sikker på at komme omkring det nødvendige og tilstrækkelige.
Vælg den byggestil, de byggeklodser, og den sammensætning af GDPR-trappen, som passer til netop din virksomhed eller forening, og kom sikkert i mål.
Det betaler sig i det lange løb.
Datatilsynet GDPR-Univers
Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt i Danmark.
Datatilsynet rådgiver og fører tilsyn med både offentlige og private virksomheder, foreninger og andre dataansvarlige. Reglerne er præcis de samme for alle, men sanktionerne kan variere.
Databeskyttelse i syv trin
Databeskyttelse handler helt grundlæggende om respekt for de basale menneskerettigheder, og at vi har krav på ansvarlighed og beskyttelse af vores privatliv og personoplysninger.
Som dataansvarlig virksomhed eller forening skal du kunne leve op til en lang række regler og krav, hvis din virksomhed skal være GDPR-compliant.
GDPR-trappen er din genvej til god databeskyttelse.
Høj informationssikkerhed
Genvejen til god databeskyttelse går via høj informationssikkerhed. Derfor skal du sikre, at dit arbejde med god databeskyttelse står på et stærkt fundament af sikker databehandling.
Start med dig selv. Du og dine ansatte er din virksomheds vigtigste sikkerhedsressource – på godt og ondt…
Sørg dernæst for at have tilstrækkelig teknisk sikkerhed bygget ind i hele dit IT-landskab.
%
Din compliance-score, når du holder dig på toppen
GDPR-trappen: tag genvejen til den sikre side
Her får du adgang til GDPR-trappen™, som jeg har udviklet som en konkret arbejdsmetode til at realisere Datatilsynets “GDPR-Univers for mindre virksomheder” i praksis.
For nemheds skyld anvendes ordet “virksomhed” synonymt om både virksomheder og foreninger.
Ingen kan påstå at være 100% GDPR-compliant – men når du tager GDPR-trappen fra GDPR-hotline, så vil din compliance-score være meget tæt på.
Nedenfor finder du dørene til vejledning og værktøjer til de enkelte trin på GDPR-trappen. Du modtager en adgangskode til at låse op for de enkelte trappetrin, efterhånden som du arbejder dig igennem processen.
God arbejdslyst!
Dine syv skridt op ad GDPR-trappen starter her
Klik på Vælg Trin-knapperne nedenfor, og angiv den adgangskode du har modtaget for at åbne det aktuelle trappetrin. Du får adgang til trappetrinnene efterhånden som du arbejder dig op igennem GDPR-trappen. Adgangskoden til hvert trappetrin er den samme for alle låste elementer på trinnet.
Vær opmærksom på, at “GDPR-trappen” er et registreret varemærke. Jeg beder desuden om, at du anerkender, at der ligger mange timers udviklingsarbejde bag disse værktøjer. Du må derfor ikke dele, overdrage, videregive, videresælge, kopiere eller på anden måde tilsidesætte min ophavsretlige ejendomsret til arbejdsmaterialet i GDPR-trappen. Overtrædelser heraf kan blive retsforfulgt.
Trin 1: Skab overblik
På første trin af Datatilsynets 7-trinsmodel skal du skabe overblik over:
- Hvor du opbevarer de personoplysninger, du behandler i virksomheden
- Hvem du behandler personoplysninger om
- Hvilke kategorier af personoplysninger, du behandler i din virksomhed.
Trin 1 – Skab overblik er et krævende og vigtigt trin, og en forudsætning for, at du opnår GDPR-compliance, når du til sidst når til toppen af trappen på trin 7.
Trin 2: Spørg dig selv "Hvorfor?"
Du skal nu i gang med Trin 2 – Spørg dig selv “Hvorfor?”, hvor du skal undersøge formålene med dine behandlinger af personoplysninger.
Det er et grundlæggende og ufravigeligt krav i databeskyttelsesreglerne, at du er i stand til at redegøre for de lovlige og saglige formål med din behandlingen af personoplysninger.
For at påvise ansvarlighed, skal du udarbejde en fortegnelse over din behandlingsaktiviteter.
Trin 3: Husk at slette igen!
Du skal som udgangspunkt slette de indsamlede personoplysninger, når du ikke længere har et lovligt eller sagligt grundlag for at behandle oplysningerne.
På dette trin skal du
- Gruppere dine behandlingsaktiviteter fra Trin 2
- Opbygge sletteregler for dine behandlingsaktiviteter
- Færdiggøre din lovpligtige fortegnelse
Når du har har oprettet (og følger) dine sletteregler, kan du færdiggøre din lovpligtige fortegnelse.
Trin 4: Oplys om, at du behandler personoplysninger
Du har nu lagt grundlaget for din efterlevelse af databeskyttelsesreglerne på GDPR-trappens trin 1 til 3. Nu skal du også fortælle andre, hvor god du er til det!
Oplysningspligten er en aktiv forpligtelse. Det betyder, at du skal oplyse aktivt om, hvordan du indsamler og behandler personoplysninger. Herved sikrer du, at dem, der er eller bliver omfattet af dine behandlingsaktiviteter, har mulighed for at gøre brug af sine rettigheder om f.eks. indsigt, sletning, indsigelse osv.
På Trin 4 skal du udarbejde de dokumenter, som sikrer at du opfylder din oplysningspligt.
Trin 5: Skab gode procedurer
Det er fint at have styr på sin databeskyttelse, men du skal også have styr på, hvordan du håndterer henvendelser fra den registrerede, vedligeholdelsen af din investering med et GDPR-årshjul og databeskyttelsesretlige sikkerhedsbrud.
På GDPR-trappens trin 5, skal du arbejde med at udvikle gode procedurer for den løbende drift og håndtering af de grundlæggende arbejdsopgaver inden for databeskyttelse.
Du får også et godt værktøj til at udvikle yderligere gode procedurer og arbejdsgange. På sigt kan du opbygge en praktisk anvendelig GDPR-håndbog, som gør god databeskyttelse til en overkommelig del af den daglige drift.
Trin 6: Husk IT-sikkerheden!
Du er på vej mod toppen, og snart er du blandt stjernerne inden for databeskyttelse!
Men i en digitaliseret hverdag hænger god databeskyttelse uløseligt sammen med høj IT- og informationssikkerhed. Derfor et det mindst lige så vigtigt, også at have godt styr på IT-sikkerheden – både teknisk og organisatorisk.
På GDPR-trappens trin 6 skal du overordnet set arbejde med
- Risikovurderinger
- Softwaresikkerhed
- Cybersikkerhed
- Backup
- Awareness og
- Leverandørstyring
Med udgangspunkt i kompetent rådgivning og brug af værktøjerne for virksomheder på sikkerdigital.dk, styrker du din IT-sikkerhed.
Trin 7: Du er også dataansvarlig, når du deler
Sidste trin på GDPR-trappen knytter databeskyttelse og IT-sikkerhed sammen, og handler om dig som dataansvarlig, når du overlader personoplysninger til en databehandler.
Du må godt overlade behandlingen af personoplysninger til andre, men du kan ikke fralægge dig ansvaret for behandlingen. Derfor skal du
- have styr på,
- stille krav til, og
- føre tilsyn med
dine databehandlere.
På GDPR-trappens sidste trin, skal du arbejde med databehandleraftaler, leverandørstyring og tilsyn.
Kontakt GDPR-hotline
Din genvej til den sikre side er kun et telefonopkald eller en mail herfra