Hvis du googler ’hvad er GDPR’, så får du 98.800 resultater. Men hvis du først gør det nu, så er det ved at være ALLERSIDSTE udkald til at få gjort noget ved det. Den nye – og bindende EU-lov: General Data Protection Regulation, som træder i kraft 25. maj kan få vidtrækkende konsekvenser for de virksomheder og organisationer, som IKKE har styr på processer og håndtering af personfølsom data i forhold til dine medarbejdere og private kunder.
Så er du klar – eller (stadig) lidt usikker på, om du nu også har husket det hele?
Hos Zispa hjælper vi vores kunder med netop at håndtere og styre forskellige data og processer. Og netop en forespørgsel fra en af vores kunder omkring håndtering af persondata og GDPR, er resultatet af nedenstående gode råd og tips fra Tom Frandsen, som er vores specialist i EUs persondataforordningen.
Kontakt Zispa på tlf. 7613 1445
– Der er sådan set ikke det store nye i behandlingen og beskyttelsen af personfølsomme data. Virksomheder og organisationer i Danmark har generelt bare ikke helt overholdt persondataloven. Det, der er det særlige med denne EU-persondataforordning er, at du som virksomhed har pligt til at beskrive processerne (dvs. arbejdsgange og behandlingen af personfølsomme data). Og her gælder det, at jo mere detaljeret du beskriver processerne, jo mere er der at falde igennem med. Så hold det enkelt. Det behøver ikke være komplekst, fordi persondataforordningen er det, siger Tom.
I forhold til persondataforordningen, så kan du dele personfølsomme data ud på 4 kategorier:
Kilde: GDPR §§ 6-7
– Det du skal overveje i forhold til kategori 1 til 3 er: Hvad er sandsynligheden for eventuel læk eller tab af disse data? Hvad er konsekvensen – og hvilken forebyggende/kompenserende indsats (beredskabsplan) skal sættes i værk? Og hvad er udgifterne hertil? Du kan også spørge:
– Bemærk at det er tilladt at undlade at øge sikkerheden omkring noget data, hvis udgiften ikke står i mål med udgiften for dette, oplyser Vinni Bjerg Lyhne.
– I princippet må du gemme alt med personens – fx kunden eller medarbejderens – samtykke. Der er dog visse ting, du i den forbindelse skal sikre dig, siger Tom N. Frandsen:
1. Du skal sikre dig, at du har backup af de personfølsomme data, så du kan rekonstruere ved evt. tab.
2. Du skal sikre dig, at du har et godt og altid opdateret anti-virus system (evt. firewall), som beskytter mod angreb og dermed læk af personfølsomme data.
3. Du skal på forespørgsel fra en person/kunde, kunne udlevere de personfølsomme data i krypteret tilstand.
– I praksis betyder det, at det skal være nemt at søge i dine elektroniske og manuelle arkiver efter disse oplysninger og så skal de kunne afleveres i krypteret tilstand. Samtidig kan personen bede om, at du sletter ALLE følsomme oplysninger om dem, som du ikke har lovgivningens mandat til at opbevare.
– Personlig data skal kunne henledes til en bestemt person. Hvis fx MUS-samtaler registreres på lønnummer og ikke navn, og sammenhængen mellem lønnummer og navn kun findes i ERP / lønsystemet, så ville en it-kriminel skulle bryde ind i to systemer for at finde sammenhængen. Sandsynligheden for den risiko er overvejende lille. Derfor kan du argumentere for ikke at øge sikkerheden omkring MUS-dokumenter.
– I forhold til vores kunder, så bliver vi ofte spurgt til håndteringen af persondata i forhold til medarbejdere. Her er nogle gode tips:
Genvejen: Skriv tilbage, at du beholder dem i x antalt måneder, og hvis ikke ansøgeren skriver tilbage, at de ikke ønsker det, må man antage at det er en stiltiende accept
Den sikre vej: Bed mulige ansøgere om at holde sig orienteret om jobopslag og løbende søge opslåede stillinger. Kravet til dig er, at du så også sletter jobopslagene efter x antal måneder.
Kontrakten er det samme som samtykke til, at du opbevarer alt, hvad der er relevant i forhold til løn. Du kan i din personalepolitik skrive, at tingene opbevares x antal år efter endt ansættelse, hvorefter de destrueres. – Og så også huske at gøre det efterfølgende.
I stedet for at anvende medarbejdernes navne, så brug lønnummer. På den måde kan du undgå personificering (udpegning af specifik medarbejder), da det kræver adgang til et andet system, for at lave sammenkoblingen. Og det gør det mere besværligt for en eventuel hacker.
Viser du medarbejdernes billeder på fx hjemmesider, så skal du lige sikre et samtykke eller i hvert fald en personalepolitik på det.
– I forhold til eksisterende medarbejdere kan mange oplysninger klares med tillæg til personalehåndbogen – i hvert fald så længe, at det ikke er kritiske oplysninger. Vi anbefaler, at man ved kritiske personfølsomme oplysninger indhenter særskilt samtykkeerklæringer på det, der ikke er angivet ved lovgivning, overenskomst eller ansættelseskontrakt. Bemærk dog at medarbejdere kan nægte, at du opbevarer personlig data, der ikke er angivet ved lov, overenskomst eller ansættelseskontrakt og det skal du efterkomme og kan ikke nægte nogen ansættelse / opsige nogen på den baggrund.
– Generelt skal du have et (nemt tilgængeligt) sted, som beskriver:
– Du kan beskrive/forklare det helt simpelt i et regneark eller et Word-dokument, som du løbende vedligeholder. Så længe at du blot husker, at jo mindre der er skrevet, jo mindre kan du falde igennem på, understreger Tom.
Er du i tvivl, om du er dækket (godt nok) ind i forhold arbejdsgange og databehandlingen?
Vi hjælper dig med at afdække, hvad der skal til i forhold til håndtering af data. Kontakt os i dag på tlf. 7613 1445.