GDPR kræver behandlingssikkerhed - Visma DataLøn

GDPR kræver behandlingssikkerhed

Sådan lever du op til GDPR's krav om behandlingssikkerhed

De persondata, du håndterer i dit arbejde med løn og personale, kan være mere eller mindre "dyre". Og de foranstaltninger I tager for at sikre, at data behandles sikkert, skal matche hvilke persondata, I har med at gøre.

Start med en risikovurdering

En risikovurdering er ikke en kort snak ved kaffemaskinen. Det er en skriftlig beskrivelse af, hvor stor en risiko der reelt er for et brud på persondatasikkerheden i virksomheden - og hvad risikoen består i.

Har I for eksempel manuelle forretningsgange, hvor data flyttes rundt på papir? Eller foregår det online - og hvordan vurderer I så trusler som virus, hacking og phising?

Kommer der kunder eller leverandører i huset, for hvem data er aldeles uvedkommende, og er alle medarbejdere (tilstrækkeligt) informerede om, hvordan de skal håndtere personoplysninger i virksomheden?

I skal systematisk beskrive risikoen netop hos jer.

Lær mere om behandlingssikkerhed i praksis

Behandlingssikkerhed har mange facetter i GDPR-regi. Mangler du overblik - og en opskrift på at komme i gang? Visma DataLøns jurister kan hjælpe dig.

Webinar om behandlingssikkerhed i praksis

 

Sille_Sloth_data-protection-manager-visma-dataløn-rundt-300x300.png

Tekniske, organisatoriske og fysiske foranstaltninger

GDPR foreskriver, at I angriber behandlingssikkerheden fra tre forskellige vinkler:

  • Teknisk: Er jeres it-systemer, adgange og arbejdsgange GDPR-tunet? Sender I for eksempel persondata gennem krypteret eller sikker mail?
  • Organisatorisk: Sikrer I rigtig og lovlig omgang med persondata ved at have uddannet alle medarbejdere i det? Har I klare regler for passwords og sletning?
  • Fysisk: Er bygningen, skabe og skuffer sikret tilstrækkeligt mod uvedkommende og uvelkomment besøg?

De tre vinkler kan I også bruge som udgangspunkt for at bygge jeres risikovurdering op.

Tag din GDPR-temperatur

Dokumentation, dokumentation og atter dokumentation

Et centralt område inden for GDPR er dokumentation. Alt hvad I siger, at I gør for at behandle persondata sikkert, skal skrives ned. Med andre ord skal I dokumentere, hvilke politikker I følger. For eksempel når det gælder jeres tekniske, organisatoriske og fysiske foranstaltninger.

Det er ikke nok, at skuffen er låst. I skal have formuleret på skrift, at reglen hos jer er, at skuffen er låst.

Bonusinfo: Vidste du, at persondata i en skuffe skal være låst inde med hele 2 låse?

Brud på datasikkerheden skal logges

Måske kender du en logbog fra skibsverdenen, hvor kurs, positioner osv. løbende noteres. Begrebet har smittet af på GDPR i form af "hændelsesloggen".

Sker der brud på behandlingssikkerheden hos jer, skal I notere det i en hændelseslog - hver gang. Herunder hvad der er sket, hvorfor det er sket, og hvad I har gjort ved sagen - altså for at rette op på det.

Pointen med loggen er, at I skal kunne fremvise den, hvis Datatilsynet kommer på besøg. Og så giver det jer selvfølgelig et billede af, hvor godt eller slemt det står til hos jer. Om alt er godt, eller I skal stramme op.

Eksempler på hvad der skal logges:

  • En computer med personoplysninger på bliver stjålet
  • It-systemet bliver hacket
  • Gæster har haft adgang til personalemapper
  • En medarbejder er kommet til at sende persondata via en ikke-beskyttet mail

I følge GDPR skal I også føre en fortegnelse.

Hvis I ikke har udpeget en der er ansvarlig for at føre hændelsesloggen, så gør det!

Sille Sloth Jurist, Visma DataLøn

Hvornår skal I kontakte Datatilsynet?

Nogle brud på behandlingssikkerheden skal "bare" noteres i hændelsesloggen. Andre skal anmeldes til Datatilsynet inden for 72 timer.

De brud, der skal anmeldes til Datatilsynet, er dem der "medfører en risiko for de registrerede". Det er altså en vurdering, du skal foretage.

Skal du anmelde brud på behandlingssikkerheden til Datatilsynet, sker det på virk.dk

Få hjælp til en skabelon for en hændelseslog

Tag fat i vores jurister, der er specialister i GDPR og arbejdet med løn og HR.

De kan også give dig eksempler på, hvornår et brud skal anmeldes til Datatilsynet.

Ring mig op   Tjek webinar om behandlingssikkerhed i praksis