Forside FAQ om GDPR

FAQ om GDPR.

Alt, hvad du skal vide om GDPR – Få svar på dine spørgsmål.

GDPR er en lovgivning, der sikrer beskyttelse af persondata – og som alle virksomheder skal overholde. Men hvad betyder det i praksis for din virksomhed? På denne side finder du svar på de mest stillede spørgsmål om GDPR. Det kan være:

Hvad gør du ved et databrud?

Hvornår skal du indgå en databehandleraftale?

Er en IT-sikkerhedspolitik lovpligtig?

Få et overblik over de vigtigste regler og hvad din virksomhed bør være opmærksom på.

Hvad er GDPR?

GDPR står for General Data Protection Regulation – på dansk kaldet persondataforordningen, hvilket får os til at vende tilbage til det mere mundrette ”GDPR”.

Lovgivningen har været gældende siden 25. maj 2018 og fastsætter reglerne for, hvordan virksomheder håndterer persondata. Alle virksomheder, der behandler personoplysninger, skal overholde GDPR for at beskytte borgernes privatliv.

Hvad er en databehandleraftale?

En databehandleraftale er en aftale mellem en dataansvarlig og en databehandler. Aftalen sikrer, at persondata håndteres korrekt og i overensstemmelse med GDPR.

Eksempler på situationer, hvor du skal have en databehandleraftale:

  • Hvis du bruger et eksternt lønsystem
  • Hvis du sender nyhedsbreve via en tredjepartsplatform
  • Hvis du anvender cloud-løsninger til opbevaring af kundedata

 

Selvom du indgår en aftale, har du stadig ansvar for at sikre, at dine databehandlere overholder reglerne.

Få hjælp til databehandleraftale

Hvornår skal du indgå en databehandleraftale?

Du skal kun indgå en databehandleraftale, hvis en anden virksomhed behandler personoplysninger på dine vegne. Hvis du blot har en almindelig kunde- eller leverandørrelation uden behandling af personoplysninger, er det ikke nødvendigt.

Eks. Bruger du eksterne IT-systemer til at håndtere dine data, fx medarbejderoplysninger, kundeoplysninger eller data om salg/fakturering, bør der formentligt laves en databehandleraftale med udbyderen af disse systemer.

Hvad er forskellen på en databehandler og en dataansvarlig?

  • Dataansvarlig: Den virksomhed, der afgør formålet og midlerne for behandling af personoplysninger.
  • Databehandler: Den virksomhed, der behandler oplysninger på den dataansvarliges vegne.

Det er vigtigt at kende forskellen, da ansvaret for GDPR-overholdelse varierer afhængigt af din rolle.

Du kan læse meget mere om de to forskellige roller her: Vejledning om dataansvarlige og databehandlere

Hvad er personoplysninger?

Personoplysninger informationer, der kan identificere en person. Lige så snart du opbevarer personlige oplysninger, har du pligt til at følge lovgivningen på området.

Ikke alle oplysninger skal behandles på samme måde. Det kommer an på hvilken type oplysninger der er tale om. De inddeles i tre kategorier:

  • Eksempler på almindelige personoplysninger
    • Navn og adresse, alder og familieforhold
    • Uddannelse, eksamen, arbejdsplads, sygedage
    • Lønoplysninger, bolig, skat og gæld

 

  • Eksempler på følsomme personoplysninger
    • Helbredsoplysninger
    • Politisk, religiøs eller fagforeningsmæssig tilhørsforhold
    • Biometriske og genetiske data

 

  • Oplysninger om strafbare forhold
    • Straffedomme eller lovovertrædelser

 

Jo mere følsomme oplysningerne er, desto strengere krav gælder der for behandlingen.

Hvad er en risikovurdering i GDPR?

En risikovurdering identificerer de potentielle risici ved behandling af persondata og vurderer sikkerheden i dine systemer. Den består af tre trin:

  1. Konsekvensvurdering – Hvad er konsekvensen af et databrud?
  2. Trusselsvurdering – Hvad er sandsynligheden for et angreb eller læk?
  3. Sårbarhedsvurdering – Hvor godt er din virksomhed beskyttet?

 

Brug Erhvervsstyrelsens IT-risikovurderingsværktøj for at få et overblik over din virksomheds risici.

Er en IT-sikkerhedspolitik lovpligtig?

Ja! En IT-sikkerhedspolitik er vigtig for at beskytte virksomhedens data og sikre, at medarbejdere ved, hvordan de håndterer sikkerhedsbrud.

En god sikkerhedspolitik bør inkludere 1) procedurer for håndtering af sikkerhedsbrud, 2) adgangsbegrænsninger til følsomme oplysninger og 3) ansvarsområder for ledelse og medarbejdere.

Har din virksomhed ikke en IT-sikkerhedspolitik? Lad os hjælpe.

Få hjælp til GDPR

Hvad gør du ved et databrud?

Hvis der sker et brud på persondatasikkerheden, skal du:

  1. Dokumentere bruddet: Notér, hvad der er sket, og hvilke data der er berørt.
  2. Underrette myndighederne: Hvis der er høj risiko for de berørte personer, skal Datatilsynet informeres inden for 72 timer.
  3. Underrette de berørte personer: Hvis data er lækket og kan misbruges, skal de berørte informeres.

Få hjælp med GDPR-rådgivning.

Det kan være en udfordring at sikre, at din virksomhed overholder GDPR. Vi tilbyder skræddersyet GDPR-rådgivning og hjælper dig med at implementere de nødvendige procedurer.