GDPR og NAV

8 gode råd til GDPR og økonomisystemer
GDPR

8 gode råd til GDPR

Hvad skal du være opmærksom på i forbindelse med
økonomisystemer og GDPR

– Den 25. maj 2018 står for mange virksomheder som en “skelsættende” dato. Det er nemlig her Persondataforordningens nye bestemmelser træder i kraft. Vi tænker, at I sikkert allerede arbejdet med at blive klar til at opfylde reglerne i forordningen og måske er I stødt ind i nogle spørgsmål omkring GDPR og jeres økonomisystemer.

Hos DataComfort vil vi meget gerne hjælpe med, at I kommer sikkert i land og får endnu mere styr på arbejdsgangene i jeres virksomhed. Det blev vi endnu bedre rustet til, da vi i marts bød velkommen til Nikolaj Venstrup, der blandt mange gode kompetencer kommer med stor erfaring som både systemarkitekt og projektleder på implementering af GDPR. En viden der gælder både lovgivningen på området, økonomisystemer og generel IT vedr. GDPR.

I denne blog har vi samlet et par punkter omkring den nye forordning I bør være særlige opmærksomme på, og links til steder, hvor I selv kan teste jeres virksomhed.

 

1. Hvad er vores “rolle”?

I forhold til den nye forordning er det første springende punkt, om jeres virksomhed er omfattet og om jeres rolle er “Databehandler” eller “Dataansvarlig”.

Ofte er virksomhederne begge dele og data bør derfor klassificeres i forhold til dette.

Kort fortalt så er forskellen, at hvis virksomheden indsamler kundeoplysninger selv, så er man dataansvarlig. Beder andre virksomheder om det, så er de stadigvæk kun databehandlere og I er dataansvarlige. Men en skriftlig aftale skal være på plads for at overholde de nye regler.

 

2. Differentiering mellem personoplysninger eller personfølsomme  oplysninger

Håndterer I personfølsomme oplysninger eller blot almindelige personoplysninger? Dette er det vigtigste spørgsmål af få afklaret inden man går videre i processen. Opdelingen mellem de to typer er ”enkel” men har stor betydning. I begge tilfælde skal der være et udtrykkeligt samtykke eller lignende (f.eks. ansættelseskontrakt) fra personen der opbevares oplysninger om.

For alle typer af oplysninger anbefaler vi, at I tænker over opbevaringen af disse og laver en konsekvensanalyse ved evt. læk.

Hos Datatilsynet kan du læse meget mere om, hvordan de anbefaler man behandler og opbevarer data

 

3. De to typer oplysninger han grundlæggende defineres som:

Almindelige oplysninger?

Håndtering af almindelige ikke-følsomme oplysninger kræver ikke et udtrykkeligt samtykke, men kan f.eks. ske som led i opfyldelsen af et ansættelsesforhold. Almindelige oplysninger er eksempelvis:

  • Identifikationsoplysninger (navn, adresse, tlf.nr, fødselsdato)
  • Familieforhold
  • Ansøgning og cv (uddannelse, eksamensoplysninger, tidligere beskæftigelse)
  • Løn, arbejdstider, fravær, sygedage (men ikke årsagen til sygefraværet)
  • Kontonummer

Følsomme oplysninger?

Følsomme oplysninger går også under betegnelsen “særlige kategorier af oplysninger’’. Det kan være:

  • Oplysninger om helbredsforhold
  • Fagforening
  • Racemæssig eller etnisk baggrund
  • Politisk, religiøs eller filosofisk overbevisning
  • Seksuelle forhold
  • Genetiske data

Har du spørgsmål så giv os et kald på 70 200 142

Vi er altid klar til at besvarer dine spørgsmål eller bidrage med vores erfaring til dine problemstillinger. Når det gælder spørgsmål til GDPR, er du i de bedste hænder hos Nikolaj Venstrup og ønsker du at tale en anden fra DataComfort kan du finde vores direkte numre her

 

4. Samtykkeerklæringer

Noget af det vigtigste i forbindelse med de nye tiltag, er at der er samtykkeerklæringer på de data der opbevares, hvilket også gælder allerede indhentede data. Her vil det være oplagt at bede enten brancheforeningen eller virksomhedens advokat om vejledning i, hvordan disse forhold kommer på plads. Der findes standardskabeloner til dette, men vores anbefaling er, at få professionel rådgivning for at sikre at formalia overholdes.

 

5. Overførsel af data til 3. lande?

Ved I, hvor Jeres data på internettet bliver opbevaret? Hvis ikke, er det nu I skal have det klarlagt og dokumenteret idet der er anmeldelsespligt. Det er der faktisk allerede i dag, så det er på høje tid at få styr på det. Bruger virksomheden onlinetjenester som f.eks. Dropbox, Google-drev, Mailchimp eller Office 365 til opbevaring af data, skal der foreligge en dokumentation for dette og en aftale. Hos disse leverandører af “lagring i skyen” arbejdes der hårdt på, at al data skal opbevares i EU, men det er ikke sikkert at alle når at komme i mål med det.

 

6. Retten til at blive glemt og dataportabilitet.

Indenfor 30 dage, er der en regel om at en persons oplysninger, på opfordring, skal kunne slettes eller alternativt pseudonymiseres fra alle arkiver. Der kan være undtagelser ved opbevaring via samtykke eller andre lovmæssige krav.

Med brug af specialværktøjer kan DataComfort sikre, at specifikke personoplysninger enten slettes eller kun bruges pseudonymt.

Dataportabilitet drejer sig om, at en person eller virksomhed kan bede om, at få alle sine oplysninger eksporteret i et maskinlæsbart format. Her kan DataComfort ligeledes bidrage med at indhente og udlæse specifikke data, men området er kun defineret til handlinger foretaget af brugeren, ikke virksomhedens analyser heraf.

 

7. Privacy by design/default. Rapporter fra ERP-systemerne NAV, C5 eller Uniconta om IT-brugeres rettigheder.  

Under den årlige IT-revision vil virksomheden blive adspurgt om hvem i organisationen, der har adgang til hvilke informationer?

Hos DataComfort kan vi assistere med at udarbejde en rapport, der skaber overblik over hvilke IT-brugere, der har mulig adgang til specifikke data og om de indeholder personoplysninger.

Konklusionerne i sådan en rapport viser ofte, at hvis medarbejdere skifter afdeling, så beholder man gamle dataadgange hvor den nye jobfunktion egentlig ikke kræver dette.

Opbevares jeres data lokalt, så har I ansvar for dem og at de er i et beskyttet miljø. Som bliver beskrevet i næste afsnit. Bruger I en cloud-baserede løsninger, har jeres udbyder et medansvar og I skal sikre jer der foreligger en dokumentation og aftale omkring jeres ydelser inden den 25. maj 2018

 

8. IT-infrastruktur. Kryptering. Opbevaring af data.

Områder, der typisk bliver overset er data på fælles drev og selvstændige pc’ere.

Med IT-infrastruktur mener vi alle elektroniske enheder, hvor virksomhedens data bliver opbevaret, hvilket kan være alt fra smartphones, iPads eller andre mobile enheder til virksomhedens servere. Det er et krav, at virksomhedens oplysninger om personer ikke kan falde i de forkerte hænder, så derfor skal virksomheden kunne slette data, hvis enheden ikke længere er under virksomhedens kontrol. Dette gælder også for medarbejderes personfølsomme oplysninger, herunder biometriske data (fingeraftryk).

 

DataComfort kan hjælpe med identifikation af enheder og dataindhold, for at identificere eventuelle risici. Ligeledes vejleder vi gerne om kortlægning af virksomhedens data og opbevaring af disse så forordningen overholdes.

Sidder du inde med spørgsmål, så er du meget velkommen til at kontakte Nikolaj Venstrup på mail nv@datacomfort.dk og telefon 42404660.

RELEVANTE LINKS TIL YDERLIGERE INFORMATION

Vi har samlet en liste over relevante links, hvor I kan få mere indsigt og teste jeres status i forhold til de nye regler:

 

Tips og nyheder

 

Vi sender 3-6 gange om året tips og nyheder ud. Tilmeld dig her:


Jeg har siden 1998 beskæftiget mig med ERP og infrastruktur, inden for handel og produktionsvirksomheder. Jeg brænder for at skabe og implementere individuelle IT-løsninger til små og mellemstore virksomheder med fokus på at optimere processer og indtjening.
SUPPORT