GDPR
Organisatoriske foranstaltninger til beskyttelse af personoplysninger
Virksomheder skal træffe passende organisatoriske foranstaltninger for at beskytte de personoplysninger, de behandler. Dette omfatter f.eks. standsning af uautoriseret adgang til personoplysninger, utilsigtet sletning af personoplysninger og beskyttelse af virksomheden mod andre former for brud på persondatasikkerheden. Jo vigtigere persondata virksomheden behandler, jo bedre sikkerhedsforanstaltninger kræver GDPR.
Virksomheder bør implementere organisatoriske foranstaltninger for at overholde andre regler i GDPR
Ud over det faktum, at virksomheder skal træffe organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysninger, skal virksomheden også træffe sådanne foranstaltninger for at kunne overholde andre regler i GDPR. For eksempel for at opfylde de registreredes rettigheder i henhold til GDPR. Hvis en registreret anmoder om at få sine personoplysninger berigtiget eller slettet, skal virksomheden kunne imødekomme dette. Derfor er det vigtigt at have de nødvendige organisatoriske foranstaltninger på plads.
Virksomheder skal træffe organisatoriske foranstaltninger for at beskytte personoplysninger
Nedenfor kan du læse mere om nogle praktiske organisatoriske tiltag, som virksomheder skal implementere.
At skabe en god sikkerhedskultur
Det er vigtigt, at virksomhederne skaber en god sikkerhedskultur i hele deres drift. Dette gøres primært ved at træffe passende organisatoriske sikkerhedsforanstaltninger. Et eksempel på, hvordan virksomheder kan gøre dette, er ved klart at formidle, hvad der forventes af medarbejderne. Virksomheden bør informere medarbejderne om de procedurer og politikker, der gælder inden for databeskyttelse. Dette gør det lettere for medarbejderne at rapportere fejl eller mangler. Derudover er det vigtigt, at alle medarbejdere, der behandler personoplysninger i forbindelse med deres opgaver, har et grundlæggende kendskab til databeskyttelse.
At skabe en god sikkerhedskultur i virksomheden kræver, at medarbejderne er velinformerede og bevidste om, hvorfor det er vigtigt. Medarbejderne bør vide, hvilke risici der er på databeskyttelsesområdet, og hvordan de skal gribe ind, hvis de opdager sikkerhedsmangler eller brud på persondatasikkerheden.
Anmeldelse af brud på persondatasikkerheden
F.eks. skal visse brud på persondatasikkerheden indberettes til den ansvarlige databeskyttelsesmyndighed. Den dataansvarlige virksomhed indberetter anmeldelsespligtige hændelser til den kompetente tilsynsmyndighed senest 72 timer efter opdagelsen. For at kunne foretage anmeldelsen til tiden er det vigtigt, at virksomheden har en god sikkerhedskultur med en klar rapporteringsproces. Dette hjælper medarbejderne med at rapportere opdagelsen hurtigere i virksomheden, så virksomheden kan handle hurtigt.
Forvaltning af støtteberettigelse
Det er hensigtsmæssigt og i nogle tilfælde nødvendigt for virksomheder, der behandler personoplysninger, at kontrollere adgangsrettighederne. Formålet med dette er at sikre, at ikke alle medarbejdere har adgang til behandlede personoplysninger, når dette ikke er nødvendigt. Virksomheden bør navnlig gennemføre en sådan godkendelsesstyring, når det drejer sig om yderligere data, der er beskyttelsesværdige, såsom følsomme personoplysninger i henhold til artikel 9 i GDPR. Gennem autorisationsstyring kan virksomheder forhindre uautoriseret adgang til personoplysninger.
Ikke alle i en virksomhed har normalt brug for adgang til personoplysninger
I mange tilfælde er det ikke nødvendigt for alle personer i en virksomhed at have adgang til alle medarbejderes og/eller kunders personoplysninger for at kunne udføre deres opgaver. I sådanne tilfælde bør de heller ikke have en sådan adgang.
Desuden er det vigtigt at implementere interne procedurer og processer for at tilbagekalde medarbejdernes adgangsrettigheder, i forbindelse med ansættelsens ophør eller i givet fald rådgivningsopgaver.
Skriftlige instrukser og interne procedurer
Ved at skabe forskellige skriftlige instruktioner og interne procedurer for medarbejdere er der mindre risiko for, at de tilfældigvis overtræder GDPR i deres opgaver. Derudover er det godt at lave instruktioner til f.eks., hvordan medarbejdere skal forholde sig, når der sker et brud på persondatasikkerheden. Det samme gælder, når en registreret ønsker at få tildelt en rettighed.
Ved at have dokumenterede procedurer og instruktioner kan medarbejderne nemt følge den etablerede proces. Dette sikrer en mere ensartet sagsbehandling og mindsker risikoen for manglende overholdelse. Derudover er det gavnligt også at udvikle tjeklister, som medarbejderne kan bruge til at understøtte deres arbejde. F.eks. en tjekliste over vigtige skridt, der skal tages i tilfælde af et konstateret brud på persondatasikkerheden.
Uddannelse i databeskyttelse, herunder GDPR
Det er vigtigt at uddanne personalet i databeskyttelse, herunder GDPR. Virksomheden er ansvarlig for at sikre, at medarbejderne overholder GDPR i praksis. For større virksomheder med flere afdelinger kan det være nyttigt at have en ansvarlig person i hver afdeling, der bliver kontaktperson for databeskyttelsesspørgsmål. I sådanne tilfælde er det godt, hvis en sådan kontaktperson, også kendt som en databeskyttelsesambassadør, modtager passende uddannelse.
Desuden bør virksomheder, der har en DPO, tilbyde DPO’en mulighed for yderligere uddannelse. F.eks. kurser, der gennemgår ny praksis på området, eller nye love/forordninger om databeskyttelse såsom AI-forordningen.
Læs mere om GDPR
Tekniske sikkerhedsforanstaltninger
Ud over de organisatoriske sikkerhedsforanstaltninger, som virksomhederne skal træffe, skal virksomhederne også træffe passende tekniske sikkerhedsforanstaltninger. Virksomheder kan f.eks. kryptere personoplysninger, sikkerhedskopiere personoplysninger, opdele datanetværk, også kaldet netværkssegmentering og autentificering.