Persondata (GDPR)

Få ført jeres dokumentation ajour

GDPR var højaktuelt omkring 2018, hvor EU-direktivet trådte i kraft, men hånden på hjertet: Kom I mål med beskrivelserne? Har I holdt dem ved lige, eller er I nye på markedet? På dette kursus får du indblik i, hvilken dokumentation din organisation bør have for at bevise, at I passer på organisationens og de ansattes data.

Vi tager fat om GDPR på et overordnet plan og koncentrerer os om:

• lovgivningen og databehandleraftaler
• leverandørstyring
• slettepolitik.

På andre områder henviser vi til skabeloner, du kan bruge.

Dit udbytte 

Lovgivningen og databehandleraftaler

Vi kommer til at tale om, hvilken lovgivning der gælder for din branche, og Datatilsynets anbefalinger.

• Når data opbevares uden for din organisation, hvornår skal du så indgå en databehandleraftale? Er det en databehandleraftale med en dansk eller udenlandsk leverandør?
• Hvis en kunde eller et medlem beder om indsigt i, hvilke data I opbevarer om dem, kan I så oplyse det?
• Hvis I eller jeres leverandør har et databrud, er I da klar til at indberette dette til Datatilsynet og de berørte inden for tidsgrænserne?
• Har I udpeget en GDPR ansvarlig – eller har I en DataProtectionOfficer (DPO)?

Leverandørstyring via en systemoversigt

I dag er det vigtigt at have styr på, hvilke leverandører I har og ikke mindst, om I har data liggende hos eksterne leverandører. Er det almindelige data (navn, telefonnr., osv.) eller personfølsomme data (seksuel orientering, race, fagforeningsforhold osv.)? I er med andre ord nødt til at kategorisere jeres data. Hvis det er personfølsomme data, hvordan fører I så tilsyn med, at leverandørerne opbevarer jeres data korrekt? Får I revisionserklæringer, eller laver I inspektion hos jeres leverandør? Spørger I, om I er berørt af eventuelle  bemærkninger i erklæringen?

På kurset ser vi også på, hvornår de forskellige erklæringer benyttes, blandt andre:

• Erklæring ang. persondata – ISAE3000 type1/type2
• Erklæring ang. applikationskontroller – ISAE3402
• Erklæring ang. generelle i kontroller ISAE 3402
• SOC-erklæringer.

Slettepolitik og retten til at blive glemt

Data må kun opbevares, mens den er relevant, derfor skal der laves procedurer, der sørger for, at uaktuelt materiale bliver slettet. Hvis en kunde eller et medlem beder om, at I sletter alle oplysninger om vedkommende – retten til at blive glemt – ved I da, hvornår og hvordan I skal imødekomme sådan et ønske?