GDPR kræver behandlingssikkerhed
De persondata, du håndterer i dit arbejde med løn og personale, kan være mere eller mindre "dyre". Og de foranstaltninger I tager for at sikre, at data behandles sikkert, skal matche hvilke persondata, I har med at gøre.
En risikovurdering er ikke en kort snak ved kaffemaskinen. Det er en skriftlig beskrivelse af, hvor stor en risiko der reelt er for et brud på persondatasikkerheden i virksomheden - og hvad risikoen består i.
Har I for eksempel manuelle forretningsgange, hvor data flyttes rundt på papir? Eller foregår det online - og hvordan vurderer I så trusler som virus, hacking og phising?
Kommer der kunder eller leverandører i huset, for hvem data er aldeles uvedkommende, og er alle medarbejdere (tilstrækkeligt) informerede om, hvordan de skal håndtere personoplysninger i virksomheden?
I skal systematisk beskrive risikoen netop hos jer.
Behandlingssikkerhed har mange facetter i GDPR-regi. Mangler du overblik - og en opskrift på at komme i gang? Visma DataLøns jurister kan hjælpe dig.
GDPR foreskriver, at I angriber behandlingssikkerheden fra tre forskellige vinkler:
De tre vinkler kan I også bruge som udgangspunkt for at bygge jeres risikovurdering op.
Et centralt område inden for GDPR er dokumentation. Alt hvad I siger, at I gør for at behandle persondata sikkert, skal skrives ned. Med andre ord skal I dokumentere, hvilke politikker I følger. For eksempel når det gælder jeres tekniske, organisatoriske og fysiske foranstaltninger.
Det er ikke nok, at skuffen er låst. I skal have formuleret på skrift, at reglen hos jer er, at skuffen er låst.
Bonusinfo: Vidste du, at persondata i en skuffe skal være låst inde med hele 2 låse?
Måske kender du en logbog fra skibsverdenen, hvor kurs, positioner osv. løbende noteres. Begrebet har smittet af på GDPR i form af "hændelsesloggen".
Sker der brud på behandlingssikkerheden hos jer, skal I notere det i en hændelseslog - hver gang. Herunder hvad der er sket, hvorfor det er sket, og hvad I har gjort ved sagen - altså for at rette op på det.
Pointen med loggen er, at I skal kunne fremvise den, hvis Datatilsynet kommer på besøg. Og så giver det jer selvfølgelig et billede af, hvor godt eller slemt det står til hos jer. Om alt er godt, eller I skal stramme op.
I følge GDPR skal I også føre en fortegnelse.
Kunne du tænke dig at arbejde med hændelsesloggen eller fortegnelsen helt konkret? Så tjek vores workshops, hvor du kommer reelt ned i materien.
Hvis I ikke har udpeget en der er ansvarlig for at føre hændelsesloggen, så gør det!
Nogle brud på behandlingssikkerheden skal "bare" noteres i hændelsesloggen. Andre skal anmeldes til Datatilsynet inden for 72 timer.
De brud, der skal anmeldes til Datatilsynet, er dem der "medfører en risiko for de registrerede". Det er altså en vurdering, du skal foretage.
Skal du anmelde brud på behandlingssikkerheden til Datatilsynet, sker det på virk.dk
Tag fat i vores jurister, der er specialister i GDPR og arbejdet med løn og HR.
De kan også give dig eksempler på, hvornår et brud skal anmeldes til Datatilsynet.
Kom hele vejen rundt
Se alle GDPR-webinarer |
|