Selv om det kan virke helt uoverskueligt at gøre din virksomhed GDPR compliant, så er GDPR-lovgivningen kommet for at blive. Den gør sig gældende for langt de fleste danske virksomheder, også selvom du ikke tænker, den er relevant for din. For selv om du ikke tænker på din virksomhed som enten dataansvarlig eller databehandler, så er den højest sandsynligt en af delene.
Du kan downloade vores mini-guide til GDPR her og blive klogere på hvad du skal gøre for at din virksomhed følger GDPR-lovgivningen.
Din virksomhed er dataansvarlig, hvis den afgør, hvornår og hvordan der må behandles personoplysninger. Har du eksempelvis et CMS-system, er du ansvarlig for hvordan dine kunders oplysninger behandles.
Din virksomhed er databehandler, hvis den indsamler, registrerer, videregiver eller sletter oplysninger på en anden virksomheds vegne.
Mange virksomheder er både dataansvarlig og databehandler.
Kravene til de to roller er forskellige, men det er som udgangspunkt altid den dataansvarlige, som har ansvaret for, at behandlingen af personoplysningerne lever op til lovgivningen. Desuden er det vigtigt, at du kender til dit ansvar og din rolle, hvis der er en situation med brud på sikkerheden.
Datatilsynet registrerer hver uge mellem 100 og 150 sikkerhedsbrud fordelt på private virksomheder og offentlige institutioner. Mørketallet kan dog være meget større fordi ikke alle brud meldes til Erhvervsstyrelsen.
Derudover udgør hackerangreb kun en meget lille del af de hændelsestyper, som fører til et databrud. Menneskelige fejl er meget oftere skyld i, at der bliver sendt oplysninger til den forkerte modtager, at post bortkommer eller at mobile enheder mistes eller bliver stjålet.
Langt de fleste menneskelige fejl kan minimeres ved at have udarbejdet en sikkerhedspolitik og kommunikere den tydeligt til alle relevante personer, som håndterer personoplysninger.
Sikkerhedspolitikken er trin 5 i vores miniguide Styr på GDPR.
Download den her.