GDPR KONSULENT
Compliance på Rekordtid
HJÆLP & RÅDGIVNING TIL GDPR IMPLEMENTERING

Hvad betyder GDPR compliance for min virksomhed? Hvor kan vi få hjælp og rådgivning til GDPR implementering? Skal vi bruge en GDPR konsulent? Det er spørgsmål, mange virksomhedsejere stiller sig selv. 

GDPR står for General Data Protection Regulation og er en EU-lovgivning, der beskytter borgere i EU mod ulovlig brug af deres personoplysninger. 

Som virksomhed er det din pligt at sikre de data, du behandler, mod tab eller misbrug. 

Lovgivningen håndhæves med bøder i millionklassen. Så er din virksomhed ikke GDPR compliant, så læs lidt videre og bliv klogere på, hvordan du kommer helt i mål. 

Har du brug for en GDPR konsulent?

Har du eller andre i virksomheden ikke den fornødne viden på området, så er det nødvendigt med en GDPR konsulent eller anden rådgiver, der kan hjælpe med jura og it-sikkerhed. Har du ingen viden på området, så er det en stor opgave at give sig i kast med. Og risikoen for at begå fejl er markant større

GDPR outsourcing

Er der ingen med den fornødne viden i virksomheden, er GDPR outsourcing en oplagt mulighed. Når du outsourcer GDPR implementering sparer du både tid og penge til uddannelse og selve arbejdet med GDPR implementeringen.

Få et GRATIS og uforpligtende GDPR audit

Vi laver et GRATIS og uforpligtende GDPR audit af din virksomhed, så du får et klart billede af, hvor der skal sættes ind, og hvor meget hjælp du har behov for!

Et GDPR audit er en gennemgang af de data du behandler. Vi ser bla. på:

• Kategorier af data
• Sikkerhedshedsforanstaltninger
• Dokumentation

Har du yderligere spørgsmål omkring virksomhedens GDPR, rådgiver vi dig omkring de mulige løsninger på problemerne.

---

Få et hurtigt GDPR-overblik

I det følgende kan du blive bekendt GDPR, compliance og it-sikkerhed. Så kan du bedre danne dig et indtryk af dit behov for hjælp til implementeringen af GDPR.

• Hvad er GDPR?

  General Data Protection Regulation (GDPR) eller persondataforordningen er en ny EU-lov, der trådte i kraft den 25. maj 2018. Loven gælder for alle virksomheder i EU. Målet med loven er at sikre alle borgere mod misbrug af deres personoplysninger.

  
  På gpdr.eu kan du finde en "Complete guide to GDPR compliance", nyheder og  opdateringer på området. 

  Hvornår gælder GDPR

  Loven gælder, når din virksomhed behandler oplysninger om fysiske personer. Herunder enkeltmandsvirksomheder, da der ikke kan skelnes mellem ejer og virksomhed som individ. 

  Når data behandles automatisk eller bliver opført i et register. Hermed gøres data let og hurtigt søgbare.

  Når behandlingen foregår i Danmark, gælder forordningen og eventuelle relevante danske særregler.

  Hvad er personoplysninger

  Personoplysninger er oplysninger, der kan identificere en person. Der skelnes mellem almindelige og følsomme personoplysninger.

  Almindelige personoplysninger

  • Navn, adresse, alder, eller uddannelse
  • Billeder, video og lyd
  • IP-adresse

  Følsomme personoplysninger

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering.

  Er du dataansvarlig eller databehandler?

  Når du behandler data, kan du enten være dataansvarlig eller databehandler. Når du behandler personoplysninger, skal du kende din rolle. Kravene til en dataansvarlig og en databehandler er nemlig ikke ens.

  Dataansvarllig

  Du er dataansvarlig, når du afgør formål, og den måde personoplysninger behandles. Du er med andre ord ansvarlig, og skal dokumentere at loven overholdes. 

  Du skal lave databehandleraftaler med dem, der behandler data på dine vegne og løbende kontrollere, at de behandler data på forsvarlig vis, og at de følger loven.

  Databehandler

  Behandler du data efter instruks fra den dataansvarlige, så er du databehandler. Du har altså ingen forpligtelser ift. de registrerede, men kun overfor den dataansvarlige.

  ---

• Hvornår er du GDPR-compliant

  Din virksomhed er GDPR-compliant, når alle tiltag er implementeret, og du følger loven på daglig basis. For at være GDPR-compliant, skal du som dataansvarlig behandle personoplysinger efter disse 6 principper:

  GDPR
   
  1. Lovlighed, rimelighed og gennemsigtighed
   
  2. Formålsbegrænsning
   
  3. Dataminimering
   
  4. Rigtighed
   
  5. Opbevaringsbegrænsning
   
  6. Integritet og fortrolighed
  Datatilsynet har opsat 6 grundcipper for databehandling, du som dataansvarlig skal overholde. Se mere om de 6 principper og praksis på området på datatilsynet.dk 
  1. Lovlighed, rimelighed og gennemsigtighed

     Behandlingen skal overholde databeskyttelsesreglerne og være gennemsigtig.

  2. Formålsbegrænsning

     Ved indsamling skal det være klart, hvilke saglige formål oplysningerne skal anvendes til. Senere behandling må ikke være uforenelig med disse formål.

  3. Dataminimering

     Behandling, herunder opbevaring af oplysninger, skal begrænses til det, der er nødvendigt for at opfylde formålet.

  4. Rigtighed

     Oplysninger skal ajourføres, og urigtige oplysninger skal slettes eller berigtiges.

  5. Opbevaringsbegrænsning

     Når det ikke længere er nødvendigt at behandle oplysningerne, skal de anonymiseres eller slettes.

  6. Integritet og fortrolighed

     Oplysninger må ikke komme til uvedkommendes kendskab, gå tabt eller blive beskadiget.

  Der stilles flere krav til selve databehandlingen, der skal være på plads, før din virksomhed er GDPR-compliant. 

  • Kortlægning af data

    Du skal kortlægge dine data, fastlægge behandlingsgrundlag, slettefrister og kontroller mv.

  • Fortegnelse over behandligsaktiviteter

    Du skal føre en fortegnelse over dine behandlingsaktiveter - også kaldet en artikel 30 fortegnelse.

  • Privatlivspolitik

    Du skal have en privatlivspolitik, der viser hvilke personoplysninger, i behandler; hvorfor, og hvordan i holder data fortrolige.

  • Risikovurdering

    Du skal lave en risikovurdering af databehandlingen og en vurdering af, hvad der er passende tekniske og organisatoriske foranstaltninger for at forordningen overholdes, og at dette kan dokumenteres.

  • Intern datapolitik

    Du skal lave en Intern datapolitik - det er de regler, virksomheden forpligter sig til at følge, når i behandler personoplysninger.

  • Databehandleraftaler

    Du skal indgå databehandleraftaler med de samarbejdspartnere du deler data med.

  • Samtykkeerklæringer

    Du skal have eventuelle samtykkeerklæringer til behandling af data på plads.

  GDPR omfatter hele virksomheden. Alle medarbejdere skal kende reglerne og deltage i implementeringen. Det er tit ganske små fejl begået af en medarbejder, der resulterer i alvorlige sikkerhedsbrud. 

  Din virksomhed er ikke GDPR-compliant, hvis de ansatte ikke kender reglerne...

  Implementering af GDPR er fortløbende. Du skal til hver en tid sørge for, at sikkerhed og dokumentation er up to date, så din virksomhed ikke udsættes for hackerangreb, andre sikkerhedsbrud eller anmeldes til Datatilsynet for brud på GDPR-reglerne.

  ---

• Hvad hvis jeg ikke overholder GDPR-reglerne?

  Hvis du ikke overholder GDPR-reglerne, kan det koste din virksomhed dyrt i form af penge og skade på omdømme.

  Din virksomhed risikerer alvorlige økonomiske tab ved eventuelle sikkerhedsbrud. Hvis du ikke er omhyggelig med sikkerhed og behandling af personoplysninger, kan din virksomhed også få en betydelig bøde.

  GDPR-bøderne stiger i Danamrk

  Amazon fik i 2021 en rekordstor GDPR-bøde på 746 millioner euro. I Danmark er bøderne ikke helt så høje endnu, men de er på vej i den retning. Datatilsynet har for nylig indstillet Danske Bank til en bøde på 10 mio kr. for brud på persondataforordningen.

  

  Som det fremgår af diagrammet, er beløb og antal bøder steget eksplosivt de seneste år. Danmark er således under pres fra EU, om give flere- og større bøder for overtrædelser af GDPR-reglerne. Du kan se mere om GDPR-bøder i Danmark her: kammeradvokaten.dk

  Tab af forretningsdata eller hackerangreb kan lægge virksomhedens produktion ned. Og kan koste formuer i løsepenge eller hjælp til genoprettelse af it-systemerne.

  ---

GDPR compliance styrker din konkurrenceevne!

Der er et væld af fordele ved, at din virksomhed er GDPR compliant. Det vigtigste er selvfølgelig, at du overholder loven og ikke får bøder og lider skade på dit omdømme.

GDPR compliance er også særlig vigtig for din virksomheds konkurrenceevne og sikkerhed. 

GDPR compliance er etisk-branding, der skaber tillid og et godt omdømme

Når du tager behandling af personlige oplysninger seriøst, brander du din virksomhed som etisk og bevidst om andre mennesker.

Kunden bekymrer sig om sine personlige oplysinger. Med GDPR compliance viser du ansvarlighed og transparens. Det giver kunden tillid til dig!   

GDPR compliance er et vigtigt konkurrenceparameter

Undersøgelser viser, at forbrugerne i stigende grad lægger vægt på, hvordan virksomhederne behandler deres personoplysninger, når de skal vælge, hvor de vil lægge deres penge – og data.

65% af forbrugerne køber ikke fra virksomheder med et dårligt omdømme.

GDPR compliance giver større åbenhed og transparens i din databehandling. Det gør samtidig behandlingen mere effektiv. Du får bedre styr på, hvilke data der indsamles, og hvordan de behandles. Du kan dermed skabe mere værdi for forbrugeren gennem bedre og hurtigere beslutninger samt mere kontrol over egne data.

Virksomheder der leverer til det offentlige eller visse store virksomheder, kommer kun i betragtning, hvis de lever op til kravene i persondataforordningen. Dette er også tendens, der tager til i både omfang og graden af kontrol.

GDPR compliance skaber sikkerhed, effektivitet og overblik i virksomheden

Antallet af sikkerhedsbrud hos virksomhederne har været støt stigende de sidste mange år. Det samme har omkostningerne for at udbedre skaderne efter bruddene.

Omkostningerne dækker over: mistet produktion, tabt omsætning, løsepenge til hackere, reetablering af it-systemer mv. 

Ved implementering af GDPR får du bedre styr på håndteringen af dine vigtige forretningsdata og personoplysninger. Det skaber overblik og gør driften mere effektiv.

95% af alle sikkerhedsbrud skyldes menneskelige fejl!

Implementering af GDPR er medvirkende til at nedbringe risikoen for sikkerhedsbrud.

Det kan også begrænse omfanget af skaden, fordi data er bedre organiseret, og den indsamlede mængde af data er reduceret.

Datakryptering, øget awareness og andre tiltag kan også reducere den mængde af data du kan miste, hvis uheldet er ude.

GDPR: Ofte stillede spørgsmål

GDPR er en meget kompleks lovgivning, der giver anledning til en masse forskellige spørgsmål. Her er de 5 spørgsmål, vi oftest får.

• Jeg er lidt usikker på, hvad GDPR er for noget?

  GDPR betyder General Data Protection Regulation. På dansk hedder det også Persondataforordningen. GDPR er en EU-lov, der trådte i kraft d. 25. maj 2018.

  Loven beskytter folks personoplysninger mod ulovlig brug og deling, tyveri og misbrug.

  Loven gælder for alle der indsamler og behandler personlige oplysninger. Din virksomhed er også omfattet, hvis du f.eks.:

  • Har kunder der er privatpersoner.
  • Har en hjemmeside, der bruger tracking cookies.
  • Har medarbejdere ansat.

  Loven fortolkes meget snævert. Det er meget få virksomheder, myndigheder eller andre, der ikke er omfattet af loven. GDPR gælder også udenfor EU, hvis der behandles oplysninger om EU-borgere.

  ---

• Gælder GDPR kun for store virksomheder?

  Nej! Det er i princippet alle typer virksomheder, der behandler en borgers personlige oplysninger.

  • Offentlige myndigheder.
  • Private virksomheder.
  • Foreninger eller andre, der behandler oplysninger om fysiske personer.

  GDPR-reglerne gælder ikke:

  • Når du behandler virksomheders eller myndigheders oplysninger.
  • Når behandlingen vedrører strafferet eller statens sikkerhed
  • Når du behandler oplysninger som led i personlige eller familiemæssige aktiviteter

  Så er du en privat mindre virksomhed, så er du med stor sandsynlighed også underlagt GDPR-reglerne.

  ---

• Er jeg dataansvarlig, og hvad betyder det?

  Du er dataansvarlig, hvis du opfylder følgende 2 kriterier:

  1. Når du afgør formålet med behandlingen af personoplysninger.

  Formålet kan være et eller flere af følgende:

  • En ansættelseskontrakt eller anden kontrakt, der gør behandlingen nødvendig.
  • Den dataansvarliges retlige forpligtelser. Det kan være indberetning af løn, skat, sygdom osv.
  • Den registreredes eller en anden fysisk persons vitale interesser.Den registreredes eller en anden fysisk persons vitale interesser. Det kunne være en kunde, der er i fare for at lide økonomisk tab eller skade, men som ikke selv kan handle pga af sygdom mv.
  • En opgave i samfundets interesse eller offentlig myndighedsudøvelse. Det kan være sygdomsbekæmpelse, folkesundhed, arkivering, forskning eller statistiske formål.
  • En legitim interesse, som ikke overgås af den registreredes interesser eller rettigheder. Det kunne en virksomheds behandling af personoplysninger mhp. salg eller markedsføring

  Der skal altid være et udtrykkeligt formål med behandlingen af andres personoplysninger.

  Når du modtager personoplysninger, skal du forklare den registrerede i et tydeligt og almindeligt sprog, hvorfor du skal bruge oplysningerne, hvordan du vil bruge dem, og hvor længe du gemmer dem.

  2. Når du bestemmer måden på, hvordan personoplysninger behandles.

  Nogle af de måder du kan behandle oplysningerne på er:

  • Opbevaring
  • Redigering
  • Formidling
  • Systematisering
  • Samkøring

  Når begge kriterier er opfyldt, så er du dataansvarlig. Du skal herefter også dokumentere, at du overholder loven.

  ---

• Hvad er en GDPR-bøde?

  Hvis din virksomhed ikke overholder lovgivningen omkring GDPR, kan Datatilsynet indstille virksomheden til en bøde. Der bliver typisk givet bøder for:

  • Manglende behandlingssikkerhed

    Du mister persondata pga. manglende it-sikkerhed eller andre manglende sikkerhedsforanstaltninger.

  • Manglende oplysningspligt

    Du skal oplyse dine omkring behandligen af deres oplysninger. Det kan f.eks. være en privatlivspolitk. Har du ikke en privatlivspolitik eller oplyser kunden på anden måde, kan du få en bøde.

  • Overførsler til usikre tredjelande

    Hvis du overfører personoplysninger til usikre tredjelande, eksempelvis USA, og du ikke kan dokumentere at oplysningerne er beskyttet på samme niveau som i EU.

  Bøder fastsættes bla. udfra virksomhedens størrelse og grovheden af overtrædelsen.

  Der kan gives bøder på op til 150 mio. kr., eller op til 4 % af virksomhedens samlede globale årlige omsætning i det foregående regnskabsår, hvis dette beløb er højere.

  De største bøder givet i Danmark, er foreløbig under 10 mio. kr. Men Danmark er under press fra EU, om at give større og hyppigere bøder.

  ---

• Hvordan bliver jeg GDPR compliant?

  For at blive GDPR-compliant, skal du som dataansvarlig behandle personoplysinger efter disse 6 principper:

  1. Lovlighed, rimelighed og gennemsigtighed
  2. Formålsbegrænsning
  3. Dataminimering
  4. Rigtighed
  5. Opbevaringsbegrænsning
  6. Integritet og fortrolighed

  Du skal endvidere kunne dokumentere at reglerne følges.

  Der er en lidt mere uddybende forklaring højere opppe på denne side.

  ---

Tal med en GDPR konsulent?

Vil du videre, så kan vi hjælpe dig med alt fra
rådgivning på timebasis til komplet outsourcing af din GDPR.

Få et GRATIS og uforpligtende intromøde!

Ring til os nu!

Eller send en besked nedenfor.