Claus Hillerup Emborg


Claus Hillerup Emborg

Claus Hillerup Emborg

Karma: 0 (?)

GDPR / Persondataforordning – sådan har jeg gjort i min virksomhed.

I denne artikel vil jeg vise dig meget konkret, hvad jeg har gjort for at overholde GDPR, samt hvorledes jeg kan dokumentere dette overfor Datatilsynet, hvis de skulle bede mig herom. I alt tog det mig blot ca. 12 timer on & off over en periode.

Først lidt om min virksomhed: Hillerup Consult Group er en enmandsvirksomhed med to kerneydelser, to hjemmesider på to forskellige domæner. Den ene hedder GetRelated og er en konsulentvirksomhed, der har eksisteret siden 2013, med en hel del kundeforhold og et nyhedsbrev med abonnenter. I GetRelated har jeg blandt andet arbejdet med implementering af GDPR i flere lande.

Den anden ydelse hedder GDPRdok (www.gdprdok.dk) og er en tjenesteydelse, der netop beskæftiger sig med GDPR. I denne virksomhed har jeg, på baggrund af min erfaring fra GetRelated, udviklet et sæt skabeloner til procedurer, politikker mv. der gør arbejdet med GDPR relativt nemt og hurtigt. Dette sæt skabeloner er til salg i min onlineshop.

Qua disse ydelser behandler jeg en del persondata, men ingen følsomme persondata.

For at overholde GDPR har jeg har smagt min egen medicin, og brugt mine skabeloner til min egen GDPR opgave. Jeg håber at dette kan tjene til inspiration til at du og mange flere virksomheder får ro i maven og styr på GDPR.

 

Den indledende fase – Gab analyse

Jeg indledte arbejdet med en Gab analyse på baggrund af skemaet med samme navn.

En lang række krav opfyldte jeg allerede, og endnu flere var ikke relevante for min virksomhed, så jeg endte med en overkommelig liste med udfordringer, som af pladsmæssige årsager ikke kan vises her, men du kan se den her.

Nu havde jeg dannet mig et overordnet indryk af mine udfordringer, der handlede om indførsel og efterlevelse af korrekte politikker og procedurer, som i sidste ende vil gøre, at mine kunder oplever den korrekte behandling af deres data og rettigheder, at jeg er forberedt hvis jeg skulle få et databrud, samt at jeg kan dokumentere alle mine handler og valg overfor Datatilsynet eller andre.

 

Det konkrete arbejde

Som første led i det konkrete arbejde udarbejdede jeg en liste over alle mine databehandlingsaktiviteter med basis i skabelonen ”Registrering af behandlingsaktiviteter”.Jeg støttede mig til det konkrete eksempel herpå, der også er inkluderet i det sæt jeg har udarbejdet.

Således har jeg dokumenteret alle persondatabehandlinger jeg foretager, og kan vende tilbage hertil og tilføje eller slette, hvis der sker ændringer, samt anvende det overfor Datatilsynet som dokumentation.

Hele listen kan du se her.

Sideløbende udarbejdede jeg en politik for sletning af data på baggrund af skabelonen ”Politik for opbevaring og sletning af persondata”,hvor jeg fastsatte hvor længe jeg ville beholde f.eks. mails og andre dokumenter med persondata. Disse valg har jeg dokumenteret i det skema som ligger i skabelonen, som du kan se her.

Registreringen af behandlingsaktiviteterne endte ud i en konkret handlingsplan som følger:

Action
Få udarbejdet ligitim interesse dokumentation for leadopfølgning, samt tilhørende privatlivsmeddelelse
Få lavet databehandleraftaler med Stripe, Mailchimp, UnoEuro, Google og Mailchimp
Få sat automatisk sletning på mailkonti
Følg op på om de nuværende handelsbetingelserne og privatlivsmeddelser i online shoppen opfylder GDPR krav

 

Udarbejdelse af Legitim Interesse / Interesse afvejning

Til den første opgave benyttede jeg skabelonerne ”Procedure for udarbejdelse af Legitim Interesse”samt ”Formular til udarbejdelse af Legitim Interesse”,hvilket har klarlagt min rimelige argumentation for at jeg kontakter mine leads uden deres samtykke. På baggrund af denne har jeg efterfølgende udarbejdet en privatlivsmeddelelse som fremtidige leads kan læse, hvis de har interesse herfor (hvilket jeg tvivler på). Dette kan jeg så fremvise til Datatilsynet, hvis jeg skulle blive kontaktet af dem.

 

Databehanderaftaler

Databehandleraftalerne var nemt at komme omkring. Alle leverandører havde udarbejdet standardaftaler, der overholder GDPR, som blot skulle accepteres ved underskrift og i nogle tilfælde er de faktisk indarbejdet i eksisterende standardkontrakter. Så jeg har downloadet disse, og lagt dem i en mappe for sig selv. Du kan nemt finde disse ved at Google leverandørens navn efterfulgt af GDPR, data processing agreement eller andet. Her er nogle links som måske kan hjælpe dig:

https://www.unoeuro.com/compliance/

https://cloud.google.com/terms/data-processing-terms

https://mailchimp.com/help/about-mailchimp-the-eu-swiss-privacy-shield-and-the-gdpr/

http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=46

 

Automatisk sletning på mailkonti

I min virksomhed benytter jeg Macbook, og benytter Apples egen Mail til at administrere alle mine mailkonti, hvad enten de ligger hos Google (Gmail), Microsoft (Outlook) eller UnoEuro. Således har jeg udarbejdet regler for automatisk at slette alle mails, der er ældre end 600 dage (mindre end 2 år). Det er min oplevelse af ældre mails primært er nice to have og ikke need to have. Skulle der være mails jeg ikke vil slette, har jeg gemt disse på min Mac samt sikret mig at persondata i mailen er slettet.

Endvidere har jeg opsat mere restriktive sletteregler for en lang række andre mails jeg modtager, således at min mailboks ikke fyldes unødigt. Nedenfor ser du et skærmprint af opsætningen af mine regler.

 

Handelsbetingelser og privatlivsmeddelelser

Til den sidste opgave i handlingsplanen udarbejdede jeg en procedure til skabelse af privatlivserklæringer / fortrolighedserklæringer. Dette er både til egen hukommelse samt til Datatilsynet, hvis jeg skulle blive bedt herom. Efterfølgende læste jeg eksemplerne på fortrolighedserklæringer til såvel hjemmeside som til e-handel, hvorefter jeg benyttede ”Formular til udarbejdelse af fortrolighedserklæringer” til at skabe mine egne. En smule omstændigt, I know, men nu har jeg dokumentation på hvorledes jeg er kommet frem til resultatet.

Jeg benyttede endvidere ”Formular til udarbejdelse af samtykke” til samtykkeerklæringerne jeg benytter, såvel på mit nyhedsbrev i GetRelated, samt til betingelser for e-handel i GDPRdok.

 

Sletning af øvrige dokumenter

Dernæst gennemgik jeg min Macbook og fysiske mapper for de øvrige dokumenter, kontrakter mv., og smed det ud som politikken krævede, hvilket ikke var meget, da GetRelated kun har eksisteret i små 6 år.

 

Øvrige politikker og procedurer

Jeg kunne nu vende tilbage til den oprindelige Gab analyse, og koncentrerede mig om at få udarbejdet de fornødne politikker og procedurer.

Således har jeg tilpasset skabelonen ”Politik for sikring af Privatliv og Persondatasikkerhed”,der dokumenterer mine tiltag for at overholde GDPR på et overordnet plan. Igen er dette både til egen hukommelse samt til Datatilsynet, hvis jeg skulle blive bedt herom.

I forlængelse af dette, har jeg på 15 minutter udarbejdet en procedure for imødekommelse af anmodninger om indsigt i data fra de registrerede, samt udarbejdet en formular der skal udfyldes af den registrerede, hvis de vil ønsker indsigt, som de er berettiget til. Dette ved at benytte skabelonerne ”Procedure for imødekommelse af anmodninger”samt ”Formular til imødekommelse af anmodninger”.Formularen har jeg uploadet på mine hjemmesider.

Endelig har jeg kort hurtigt tilpasset ”Procedure for anmeldelse af brud på Persondatasikkerheden”samt noteret mig, at der ligger 2 eksempler på hvorledes man kan kommunikere et sådant brud til omverden. Så er jeg forberedt hvis dette skulle ske.

 

Nu overholder jeg GDPR

Og det var sådan set det. Nu kan jeg gå tilbage til min GAB analyse og skrive ja til alle punkter hvor jeg havde udfordringer. Jeg overholder, baseret på min bedste overbevisning, GDPR til fulde, og er fortrøstningsfuld ift. at blive kontaktet af Datatilsynet.

Ud af de 34 dokumenter der udgør sættet, har jeg kun brugt 18 dokumenter, eksklusiv den generelle vejledning. Men jeg har sparet masser af tid, og jeg har nu et sæt dokumenter, hvor jeg har dokumenteret hvilke data jeg har og hvorledes jeg passer på dem, hvornår jeg sletter dem mv.

Dette kan jeg bruge til en årlig revurdering af mine tiltag, sådan som GDPR faktisk kræver, og jeg kan bruge det til at dokumentere mine tiltag overfor Datatilsynet. Skulle jeg få en medarbejder på et tidspunkt, er der også relativt let at sætte vedkommende ind i tingene.

Så ja, jeg føler mit tryg, kan sætte et flueben ved GDPR compliance, og fokusere på noget ”reelt” arbejde.

 

Få alle mine GDPR dokumenter

Jeg har uploadet alle mine tilpassede dokumenter til det samlede sæt af dokumenter som du kan købe på www.GDPRdok.dk, så du kan se de konkrete eksempler og støtte dig til dem i dit GDPR arbejde. Jeg håber at du har fundet inspiration og mod til enten at komme igang med dit GDPR arbejde eller at gøre det helt færdigt.

Giv din stemme

5 stemmer
4,4/5

Kommentarer

Få nyhedsbrev

39 JOB

Kommunikationsmedarbejder

Se alle job Indryk job

Job

Squad Lead

Frist: 20. januar

Projektleder

Frist: 1. februar

Marketing & PR Manager

Frist: 1. februar
Se alle job Indryk job

Få nyhedsbrev

Få nyhedsbrev

Alt hvad du behøver at vide om kommunikation i din indbakke.

Ud over nyhedsbrevet får du max to andre faglige e-mails om ugen.

Vi bruger cookies for at give dig en bedre brugeroplevelse.