GDPR Implementering og dokumentation
Hvad er formålet med GDPR implementering og dokumentation?
Implementering og dokumentation af GDPR retter sig mod virksomheder, der har gennemført en kortlægning af deres databehandlingsaktiviteter, og som nu skal omsætte kravene til konkrete procedurer og papirer.
Det kan være både små og mellemstore virksomheder, offentlige organisationer og foreninger.
En vellykket implementering sikrer, at alle krav til GDPR er implementeret i driften, fra politikker over aftaler til registreringer, så I kan stå stærkt ved eventuelle tilsyn.
Korrekt dokumentation er vigtig, fordi den skaber tryghed internt og viser Datatilsynet, at I lever op til loven.
Hvad indeholder GDPR implementering og dokumentation?
Implementering og dokumentation omfatter bl.a.:
- Databehandleraftaler:
Skriftlige aftaler med alle eksterne leverandører, der behandler persondata på vegne af virksomheden (krævet efter GDPR artikel 28).
- Privatlivs-, sikkerheds- og beredskabspolitikker:
Tilpassede dokumenter og procedurer, der beskriver, hvordan I håndterer persondata og iværksætter sikkerhedsforanstaltninger (f.eks. politik for adgangskontrol, logning, sletning mv.).
- Databehandlingsfortegnelse (Artikel 30):
En omfattende fortegnelse over virksomhedens databehandlingsaktiviteter. Fortegnelsen skal bl.a. angive formål med behandlingen, kategorier af registrerede og modtagere mv. Denne fortegnelse skal foreligge skriftligt og ajourføres løbende.
- Andre procedurer:
F.eks. instrukser for dataindsamling, konsekvensanalyser og planer for håndtering af brud på persondatasikkerheden. Alt indgår i dokumentationen, som samlede beviser på, at I lever op til kravene til GDPR.
Eksempel på et typisk forløb med implementering
Et implementeringsprojekt forløber ofte i faser:
- Indledende møde og behovsafdækning:
Vi gennemgår jeres nuværende situation, mål og tidsplan. - Opdateret kortlægning:
Verifikation eller udbygning af kortlægningen af databehandlingsaktiviteter, systemer og roller. - Udarbejdelse af dokumenter:
Udarbejdelse og tilpasning af politikker, procedurer og formularer (privatlivspolitik, beredskabsplan, mv.). Vi udarbejder også databehandlingsfortegnelser og sikrer, at alle databehandleraftaler er på plads. - Implementering i organisationen:
Vi hjælper med at implementere løsningerne i praksis – f.eks. ved at oplære medarbejdere i nye procedurer eller gennemgå politikker med ledelsen. - Gennemgang og opfølgning:
Afsluttende gennemgang med ledelsen, rettelse af eventuelle mangler og plan for løbende opdatering.
Vælg den løsning, der passer til jer
Engangsprojekt
Har I et konkret mål (f.eks. etablering af fortegnelse eller gennemgang af politikker), kan I bestille et engangsprojekt eller klippekort. Vi arbejder effektivt på 4–8 timers intervaller og løser præcise opgaver som f.eks. udarbejdelse af databehandleraftaler eller ajourføring af fortegnelser.
Løbende support
Ønsker I løbende vedligeholdelse, tilbyder vi serviceaftaler. Her sikrer vi bl.a. årlig opdatering af databehandlingsfortegnelser, årlige risikovurderinger og kontrol af databehandlere, så dokumentationen altid er ajour og I er parat til tilsyn. En løbende aftale kan også inkludere rapportering til ledelsen og forberedelse til audit.
Onsite og online
Implementeringen kan foregå hos jer eller virtuelt – afhængigt af opgavens karakter og jeres ønsker. Vi tilpasser formatet, så det passer til jeres virksomhed, hvad enten det er møder på kontoret eller effektiv online-gennemgang.
Ofte stillede spørgsmål om GDPR implementering og dokumentation
Implementering betyder, at I omsætter GDPR reglerne til konkrete handlinger og dokumenter i jeres hverdag.
Det indebærer bl.a. udarbejdelse og tilpasning af de politikker, procedurer og aftaler, der kræves efter GDPR.
Implementeringen sikrer, at virksomheden overholder alle databeskyttelseskrav i praksis f.x ved at have alle databehandleraftaler i orden og nødvendige fortegnelser på plads.
Dokumentation af GDPR omfatter alle skriftlige beviser på, at I lever op til databeskyttelseskravene.
Det er bl.a.
- databehandlingsfortegnelser
- privatlivspolitikker
- informationsbreve
- sikkerhedsprocedurer
- risikovurderinger
- databehandleraftaler
Kort sagt alt fra en fortegnelse over hvilke personoplysninger I behandler, til jeres interne retningslinjer for datahåndtering.
Ja.
Når jeres virksomhed benytter eksterne databehandlere (leverandører, konsulenter mv.), kræver GDPR en skriftlig databehandleraftale.
Aftalen skal sikre, at databehandleren overholder GDPR kravene på jeres vegne. Vi hjælper med at udarbejde og gennemgå alle sådanne aftaler som en del af implementeringen.
Databehandlingsfortegnelsen er en oversigt over alle virksomhedens behandlinger af persondata, inklusive formål, datakategorier, lagringstider mv.
Ifølge GDPR skal alle dataansvarlige (og deres databehandlere) føre en sådan fortegnelse.
Fortegnelsen skal være skriftlig (kan også være elektronisk) og fremlægges ved tilsyn. Den sikrer, at I kan dokumentere jeres dataflow og overholdelse af reglerne.
Nej.
Mange små og mellemstore virksomheder har ikke en intern DPO eller compliance ressource og har derfor ekstra gavn af ekstern GDPR ekspertise.
Rådgivningen kan tilpasses jeres størrelse og behov.
Små virksomheder (under 250 ansatte) er som udgangspunkt undtaget fra at føre fortegnelser.
Undtagelsen gælder dog kun, hvis behandlingen er ubetydelig, lejlighedsvis og ikke omfatter særlige følsomme personoplysninger.
Hvis jeres virksomhed behandler mere risikofyldte data, foregår behandlinger regelmæssigt eller I behandler særlige kategorier af personoplysninger, gælder dokumentationskravene alligevel.
Kontakt gerne René hvis du vil vide om din virksomhed skal dokumentere sin GDPR.