Sig det! Gør det! Vis det!

GDPR-compliance med Sig det! Gør det! Vis det!

Du har brugt mange timer, rigtig mange timer på at skabe overblik. Du kender dine behandlingsaktiviteter. Du har opbygget din fortegnelse. Du har lavet sletteregler, risikovurderinger og meget andet. Pludselig ringer det på døren: “Sig det! Gør det! Vis det!” lyder det i døråbningen.

Og rent faktisk, så kan du godt have fuldstændig styr på GDPR i din lille virksomhed eller forening. Så hvorfor er det et problem, hvis du både kan sige, at du arbejder med GDPR og rent faktisk også gør det, men ikke kan vise, at du gør, det du siger? Så Sig det! Gør det! Vis det! – er ikke blot en tom kioskbasker – det er en konkret, praktisk tilgang til at dokumentere ansvarlighed. 

Som dataansvarlig skal du nemlig kunne påvise ansvarlighed. Det betyder, at du skal kunne dokumentere, hvordan du lever op til kravene i GDPR. Både over for myndighederne, dine kunder, dine medlemmer og internt i din organisation. Dokumentation er nøglen til at vise, at du tager databeskyttelse alvorligt, og at du arbejder systematisk med at efterleve lovgivningen. 

Derfor er “Sig det! Gør det! Vis det!” afgørende vigtigt, hvis du skal nå rundt om alle trin i din databeskyttelse.

Derfor er din dokumentation så afgørende

Dokumentation er ikke blot en pligt. Det er en forudsætning for at kunne beskytte de personer, du behandler oplysninger om, minimere risici og undgå sanktioner. Når du dokumenterer dit arbejde med databeskyttelse, viser du for eksempel:

• Gennemsigtighed: Du gør det klart for myndigheder, kunder og medarbejdere, hvordan du håndterer persondata.
• Ansvarlighed: Du kan dokumentere, at du har truffet de nødvendige foranstaltninger for at overholde GDPR.
• Risikohåndtering: Du kan vise, at du identificerer og håndterer potentielle databeskyttelsesrisici.
• Bevisførelse: I tilfælde af en databrud eller tilsynsspørgsmål kan du dokumentere, hvordan du har håndteret sikkerhedshændelsen.

Når du skaber GDPR-efterlevelse med Sig det! Gør det! Vis det! -metoden, så er du i stand til at påvise ansvarlighed.

For uden dokumentation for det du siger, du gør – så har du rent faktisk ikke gjort det, du skal.

Kravene til dokumentation i GDPR

Kravene til dokumentation findes flere steder i databeskyttelsesreglerne. Her er nogle få konkrete eksempler: 

Artikel 5 udstikker de grundlæggende behandlingsprincipper, og handler blandt andet om lovlighed, rimelighed og gennemsigtighed. Eksempler på dokumentation, som understøtter efterlevelsen af artikel 5 er: 

• Samtykkeerklæringer, som giver dig en hjemmel til lovlig behandling iht. artikel 7 om samtykke
• Sletteregler, som dokumenterer din overholdelse af kravene til lagringsbegrænsning.

Artikel 24 handler direkte om den dataansvarliges ansvar. Med afsæt i artikel 24 skal du tage stilling de tekniske og organisatoriske foranstaltninger, du skal iværksætte for at beskytte de personoplysninger, du behandler. Læg mærke til, at denne formulering reelt peger på, at du kan bruge ISO-standarderne om IT- og Informationssikkerhed som løftestang. Så også her træder Sig det! Vis det! Gør det! meget tydeligt frem. Eksempler på aktiviteter, der understøtter artikel 24 er

• Dokumenterede risikovurderinger (ISO/IEC 27005)
• Politikker for adgangskontrol, brugerstyring og kryptering (ISO/IEC 27001/27002)
• Medarbejderuddannelse og medarbejderadfærd (SO/IEC 27001/27002)

Artikel 30 handler om fortegnelsen, altså kravet om, at du som dataansvarlig skal føre et register over behandlingsaktiviteter, som blandt andet skal indeholde beskrivelser af:

• Formålet med behandlingen
• Kategorier af personer og personoplysninger
• Modtagere af data
• Overførsler til tredjelande
• Opbevaringsperioder
• Mv.

Ovenstående er blot nogle få eksempler på Sig det! Gør det! Vis Det! i databeskyttelsesreglerne. Det vigtige er at forstå, at uden dokumentation, så har du ikke opfyldt kravene til efterlevelse.

Sådan bruger du Sig Det! Gør det! Vis det!

Det kan virke overvældende at komme i mål med al din dokumentation, men det behøver ikke at være kompliceret. Selvom du kan føle det som om, at du skal spise en elefant, men du altså kan godt spise en elefant en bid ad gangen.

Her er en trin-for-trin fremgangsmåde med nogle konkrete eksempler på opgaver, du skal løse:

1. Lav en oversigt over dine behandlingsaktiviteter

• • Hvem behandler du oplysninger om?
  • Hvad behandler du om dem?
  • Hvor opbevarer du oplysningerne?
  • Læs mere om Hvem-Hvad-Hvor metoden i dette indlæg.

2 Gennemgå dine procedurer

• • Har du retningslinjer for behandling af personoplysninger?
  • Har du en plan for håndtering af datasikkerhedsbrud?
  • Kan du besvare en indsigtsanmoding?
  • Opfylder du din oplysningspligt?
  • Brug trin 5 på GDPR-trappen til at skabe gode procedurer.

3. Overvej at bruge et dokumentationssystem

• • Når din virksomhed vokser sig større, får du flere behandlinger og større dokumentationskrav. Overvej at implementere et automatiseret dokumentationsværktøj.
  • Kontakt GDPR-hotline og forhør om mulighederne, f.eks. .legal

4. Uddan dine medarbejdere

• • Gennemfør GDPR-kurser for alle medarbejdere, der arbejder med personoplysninger.
  • Dokumentér, hvem der har deltaget, hvad der er undervist i, og det opnåede vidensudbytte.
  • Kontakt GDPR-hotline og hør mere om målrettede medarbejderkurser.

 5. Lav et årshjul

• • Tjek jævnligt, at din dokumentation er opdateret og fuldstændig.
  • Tilpas din dokumentation og dine procedurer ud fra den erfaring og ved ændringer i lovgivningen.

Sammenfatning: Sig det! Gør det! Vis det! er din sikkerhed

Mange opfatter dokumentation som en bureaukratisk byrde. Men din evne til at dokumentere din praksis med Sig det! Gør det! Vis det! er din sikkerhed for at kune påvise ansvarlighed og efterleve databeskyttelsesreglerne. 

Når du har skabt overblik over dit IT- og behandlingslandskab, kan du lave en oversigt over dine behandlingsaktiviteter. 

Du kan hente inspiration i Datatilsynets GDPR-universer for små virksomheder og foreninger og i GDPR-trappen, som en praktisk arbejdsmetode, baseret på de samme universer. 

Kan du sige påvise efterlevelse af databeskyttelsesreglerne i din virksomhed eller forening? Kan du både sige, at du følger reglerne og vise det?

GDPR-trappen™ er en veltilrettelagt genvej til god databeskyttelse og høj informationssikkerhed.

GDPR-trappen er baseret på Datatilsynets koncepter “GDPR-Universet for små virksomheder” og “GDPR-Universet for små foreninger.”

Når du følger Datatilsynets syv trin ved hjælp af GDPR-trappen, så er du sikker på at komme omkring det nødvendige og tilstrækkelige.