ORGANISATORISKE FORANSTALTNINGER

Sikkerhedskultur inden for databeskyttelse og cybersikkerhed

Virksomhederne bør have en stærk sikkerhedskultur inden for databeskyttelse og cybersikkerhed for at beskytte de personoplysninger, de behandler. En personoplysning er en oplysning, der kan knyttes til en fysisk levende person. F.eks. et navn, personligt identifikationsnummer, pasnummer eller lignende. Desuden sondrer databeskyttelsesforordningen mellem “almindelige” personoplysninger og personoplysninger, der er følsomme over for privatlivets fred.

Forebyggelse af brud på persondatasikkerheden gennem tekniske og organisatoriske sikkerhedsforanstaltninger

Virksomhederne skal forhindre brud på persondatasikkerheden. Dette gøres ved at gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger. Desuden skal virksomhederne minimere konsekvenserne af brud på persondatasikkerheden, føre fortegnelser over dem og i nogle tilfælde underrette de berørte registrerede. Den nationale databeskyttelsesmyndighed underrettes også i tilfælde af visse typer brud på persondatasikkerheden.

En virksomhed i Polen skulle betale en bøde, fordi den anmeldte et brud på persondatasikkerheden for sent til den nationale databeskyttelsesmyndighed.

Højere krav til væsentlige personoplysninger

Jo vigtigere personoplysningerne er, jo højere er kravene til virksomhederne. Behandlingen af følsomme personoplysninger, som udgør en af fire kategorier af personoplysninger, der er følsomme over for privatlivets fred, er meget krævende.

Sikkerhedskultur i en virksomhed

Betydningen af sikkerheds- eller databeskyttelseskultur er fælles værdier, viden, holdning og adfærd hos dem, der arbejder i virksomheden, for at skabe sikkerhed om behandlingen af personoplysninger. Virksomhederne skal beskytte personoplysninger ved at gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger. En god sikkerhedskultur vil øge evnen til at beskytte personoplysninger. Sikkerhedskulturen bør også omfatte cybersikkerhed og beskyttelse af personoplysninger.

Eksempler på, hvad virksomheder kan gøre for at opbygge en stærk og god sikkerhedskultur

What is the definition of anonymised data?

Uddannelse

Virksomhederne skal uddanne personalet i at overholde GDPR i deres praktiske arbejde. Navnlig personale, der arbejder med databeskyttelse. Hvis virksomheden har en databeskyttelsesrådgiver, bør den også tilbyde yderligere uddannelse til databeskyttelsesrådgiveren i henhold til GDPR. Ved at have skriftlige instrukser og procedurer kan medarbejderne let læse, hvad de skal gøre for at overholde reglerne, da der er risiko for, at de glemmer eller begår fejl, hvis de kun får lov til at høre det mundtligt.

Kontrol af kompetence

Det er vigtigt, at personale, der har brug for adgang til personoplysninger, har adgang til dem, men ikke andre medarbejdere. Virksomheden skal derfor forvalte tilladelserne og kontrollere adgangsrettighederne til de systemer, der behandler personoplysninger. For eksempel har medarbejdere fra finansafdelingen brug for adgang til bl.a. regnskabssystemet for at kunne udstede fakturaer til kunder. Det er derimod ikke nødvendigvis alle ansatte i virksomheden, der har brug for sådanne adgangsrettigheder.

Measures that companies need to take to comply with GDPR

Rapporteringsproces

Virksomhederne skal indberette visse typer brud på persondatasikkerheden til de registrerede og den nationale databeskyttelsesmyndighed. På den anden side skal medarbejdere, der finder ud af, at der er sket et brud på persondatasikkerheden, indberette det internt til den rette person. Det er derfor vigtigt at skabe en klar proces for, hvordan dette skal gøres. Det kan f.eks. lette udarbejdelsen af en tjekliste, der skal anvendes af ansatte, hvis de har mistanke om et brud på persondatasikkerheden. Desuden er det vigtigt, at den interne kommunikation er hurtig og gnidningsløs, da der er frister, som virksomhederne skal overholde, når det drejer sig om anmeldelsespligtige brud på persondatasikkerheden, og konsekvenserne kan blive meget værre, jo længere tid der går, og jo større forsinkelsen er.

Større virksomheder kan have databeskyttelsesambassadører for at lette databeskyttelsesarbejdet

Jo større virksomheden er, desto større er udfordringerne i forbindelse med intern kommunikation om databeskyttelsesrelaterede sager. Det er vigtigt, at virksomheden lcykas kommunikerer sine interne procedurer, politikker osv. inden for sine aktiviteter gnidningsløst for at sikre, at de korrekte oplysninger når ud til medarbejderne. Desuden er det vigtigt, at medarbejderne er i stand til at formidle vigtige oplysninger til virksomhedens ledelse på en gnidningsløs måde.

En måde at lette denne kommunikationsstrøm på er at udpege databeskyttelsesambassadører i aktivitetens forskellige afdelinger. Disse ambassadører bør modtage yderligere uddannelse i GDPR og databeskyttelse generelt og fungere som et knudepunkt for kommunikation mellem ledelse og personale. På denne måde kan kommunikationen på området lettere flyde inden for virksomheden.

YDERLIGERE OPLYSNINGER OM ORGANISATORISKE FORANSTALTNINGER

Interne procedurer og instrukser til medarbejderne

Ved at udarbejde skriftlige interne procedurer og instrukser til medarbejderne mindsker virksomheden risikoen for, at medarbejderne overtræder GDPR i forbindelse med udførelsen af deres opgaver. Virksomhederne kan f.eks. udarbejde instrukser om, hvordan medarbejderne skal forholde sig, når en registreret anmoder om opfyldelse af en af deres rettigheder. Der er nemlig vigtige frister, der skal overholdes i henhold til GDPR, og indholdet af oplysningerne til den registrerede skal opfylde specifikke minimumskrav. Skriftlig dokumentation gør det også lettere for virksomheden at bevise overholdelsen af princippet om ansvarlighed i henhold til artikel 5, stk. 2, i GDPR.