E-mail blev ikke sendt!
Prøv venligst igen.
 
Tak for din besked!
Vi svarer hurtigst
muligt tilbage.

Havnegade 90
5000 Odense C
Telefon 66 15 90 43
Fax 66 15 96 49
CVR 29621896
seminarer@seminarer.dk

Indsend
< Artikler fra Seminarer.dk – Kategorioversigt / Krav til dokumentation med persondataforordningen

Krav til dokumentation med persondataforordningen

Af Henning Mortensen, Chief Privacy Officer og formand for Rådet for Digital Sikkerhed

Omfattende krav til dokumentation

Med de nye persondataretlige regler er der krav om, at organisationer kan dokumentere deres behandlinger af personoplysninger. Man skal bl.a. kunne dokumentere, at man efterlever principperne for behandling i form af lovlighed, formålsbegrænsning, dataminimering, rigtighed, opbevaringsbegrænsning og sikkerhed. Konkret betyder det, at for hver behandling skal man have fastsat et tilstrækkeligt præcist formål med behandlingen, og man skal være sikker på, at man ikke indsamler oplysninger, man ikke har brug for. Oplysningerne skal også være rigtige, når de behandles, og de skal slettes, når man ikke længere har brug for dem. Endelig skal der være god sikkerhed om behandlingen.

Se også relevant kursus: Implementering af persondataforordningen i praksis

Et andet krav til dokumentation i persondataforordningen er tilvejebringelsen af en såkaldt ”fortegnelse over behandlingsaktiviteter”. I denne fortegnelse skal man registrere formålene med behandlingerne, beskrive hvilke kategorier af registrerede man behandler oplysninger om, og hvilke kategorier af oplysninger der faktisk behandles. Man skal også kortlægge, om man videregiver oplysningerne til tredjemand, om der sker overførsel til tredjelande, og hvilke sikkerhedsforanstaltninger der er tilvejebragt.

Vi har alle en stor teknologigæld

Der er således i forordningen et betydeligt krav til dokumentation. Disse krav er iværksat, fordi mange organisationer gennem årene bare er gået i gang med at behandle personoplysninger uden at tænke sig om, med den konsekvens at personoplysninger har flydt rundt mellem systemer uden kontrol. Oplysningerne er ofte blevet brugt til noget helt andet, end det egentlig var meningen, og noget helt andet end den registrerede forventede. Endelig er oplysningerne typisk aldrig blevet opdateret eller slettet. Når så der er sket databrud, er de registreredes data blevet udstillet for uvedkommende, som har haft en lang række muligheder for at misbruge dem.

Man kan sige, at persondataforordningen udgør er en række fornuftige krav til, hvordan vi gør rent i vores systemer og processer og rydder op i vores data. Når mange finder de nye regler så overvældende, skyldes det, at vi har en stor teknologigæld, der skal betales, hvor vi bare har svinet med oplysningerne.

Forordningens opbygning

Overordnet set er forordningen bygget op således, at der indledningsvis er nogle principper, der altid skal efterleves. Herefter følger reglerne for, hvad der skal være opfyldt, for at man overhovedet kan få lov til at behandle personoplysninger – det der kaldes hjemmel. Videre følger en række rettigheder, som de registrerede har ret til at udleve. Så følger en række krav os dem, som gerne vil behandle personoplysningerne. Yderligere er der en række bestemmelser om overførsel af oplysninger ud af EU – f.eks. til cloud tjenester. Endelig findes en lang række regler om Datatilsynets virkemåde og det internationale samarbejde mellem myndighederne.

Se også relevant kursus: Implementering af persondataforordningen i praksis

Struktureret tilgang med Wired Relations

Når man skal i gang med at behandle personoplysninger, er det vigtigt at have en struktureret tilgang. Samtidig er det vigtigt, at den store opgave med at dokumentere deles op i mindre bidder, så projektet bliver overskueligt og operationelt. En måde at gøre det på er at bruge programmet Wired Relations, som er udviklet til netop dette formål.

Med Wired Relations deles opgaven op i tre skridt: Først opretter man sine leverandører. Man får derved styr på, om der sker tredjelandsoverførsler, og man kan indlægge dokumentation i form af kontrakter og

databehandleraftaler og tage stilling til disses lovlighed. Næste skridt er at kortlægge de systemer, som behandler personoplysningerne. I dette trin bestemmer man bl.a. hvilke personoplysninger, der konkret behandles i systemet, og hvilken følsomhed oplysningerne har. Sidste trin er kortlægningen af behandlingen i selve systemet eller kombinationen af systemer, som udgør en proces. Her tager man stilling til formålet med behandlingen af oplysningerne, hjemlen til behandlingen, evt. videregivelse m.v.

Ved at bruge et system som Wired Relations kommer man hele vejen rundt om persondataforordningen på en struktureret måde. Man opnår samtidig den fordel, at man til enhver tid med et klik på en enkelt knap kan trække den dokumentation ud, som er nødvendig i henhold til reglerne. Systemet er desuden bygget op således, at man også kan få styr på andre dokumenter, der ofte ligger og flyder i organisationen. Endelig kan man få dokumenteret sine sikkerhedsforanstaltninger. GDPR bliver dermed en overkommelig opgave at håndtere.

Introduktion til persondataret og dokumentation

Hos Seminarer.dk har vi også fokus på behandling af personoplysninger. Vi har derfor strikket et kursus sammen, hvor de dele af persondataforordningen, som er relevant for dataansvarlige, gennemgås på en lavpraktisk måde. Undervejs vil kursisterne afprøve reglerne ved selv at kortlægge et af deres egne systemer. Vi tror, at den bedste måde at lære reglerne at kende på er ved selv at bruge dem i praksis. På den måde lægger vi ikke bare op til et kursus. Vi lægger op til, at du får et konkret produkt med hjem. Se mere om kurset her.

  • Relevante kurser


    Implementering af persondataforordningen i praksis


  • Se alle aktuelle kurser, temadage og konferencer fra Seminarer.dk her

  • Blogkategorier

Gå til top