GDPR

Nye lovkrav vedrørende persondata skal være opfyldt inden 25. maj 2018.

Er du og dit firma klar?

 

 

Er du klar til de nye GDPR-krav, som træder i kraft i maj 2018?

Til maj træder EU’s nye forordning om beskyttelse af personoplysninger i kraft. Den hedder General Data Protection Regulation og skrives som GDPR. Forordningen benævnes også Persondataforordningen, og det er en afløser for persondataloven.

JMA A/S er ikke ekspert på området, men vi har sat os ind i reglerne herom for selv at kunne leve op til disse. Denne information må derfor ikke tages som den fuldstændige sandhed omkring det omfattende regulativ, men som en orientering, som I kan bruge til jeres forberedelser.

Desuden beskriver den, i hvilket omfang JMA som hosting-center er involveret i jeres ansvar for behandling af personoplysninger.

Alle virksomheder i Danmark og EU skal leve op til de nye GDPR krav. GDPR stiller for eksempel nye krav til, hvordan I som virksomhed indsamler og behandler data vedrørende EU-borgere. GDPR gælder, uanset hvor jeres virksomhed er registreret samt hvis I gemmer data om EU-borgere. Der er mange krav, som det kræver tid og forberedelse at implementere.

 

Hvordan skal du så forholde dig til GDPR?

Når du benytter for eksempel Dynamics NAV som ERP-system skal du have styr på følgende grundlæggende elementer:

  1. Hvor gemmer du persondata?
  2. Hvad anvender du persondata til?
  3. Har du gennemsigtighed i data?
  4. Registrerer du ændringer i data og kan du rapportere på dette?
  5. Har du data-politikker, som kan sikre, at brugerne har kontrol over deres data?

 

I korte træk - hvad er personoplysninger?

Personoplysninger er informationer, som kan relateres til en helt bestemt person, såsom:

  • Navn
  • Adresse
  • Telefonnummer
  • Familie
  • Fødselsdato
  • Uddannelse, eksaminer og beskæftigelse
  • Bolig
  • Bil
  • Løn, bank-informationer og skat
  • Email-adresse
  • Data fra sociale medier
  • Kulturel identitet
  • Lokation
  • IP-adresse og Cookies

 

Eksempler på følsomme personoplysninger:

  • CPR-nummer
  • Race
  • Etnisk oprindelse
  • Politisk, religiøs eller filosofisk overbevisning
  • Fagforeningsmæssigt tilhørsforhold
  • Genetiske og biometriske data
  • Helbredsoplysninger
  • Væsentlige sociale problemer
  • Seksuelle forhold og seksuel orientering

 

Alt i alt findes der personoplysninger mange steder i virksomhedens it-systemer. Der er for eksempel personoplysninger i CRM-systemet, på intranettet eller extranettet i form af excel-lister, word-dokumenter og e-mails. Eller i kundeservice-systemet. Cookies og logning af IP i CMS-systemet eller som email-adresser og logins til andre webtjenester. Plus mange mange andre steder.

 

Hvordan håndterer du så GDPR?

Microsofts Dynamics NAV kan allerede håndtere rigtig mange af de rutiner, der skal til for at leve op til GDPR kravene.

Men håndtering af data kræver også, at mange af de interne politikker er afstemt i forhold til behandling af data.

Derfor skal it-systemerne kombineres med interne arbejdsprocesser, hvor medarbejdere fra alle dele af organisationen skal inddrages. Det kan hurtigt blive en tidskrævende opgave at sikre, at behandlingen af personoplysninger i praksis lever op til jeres ønskede standard. Det gælder ikke mindst for implementering af de medarbejdere, der til dagligt er udførende på opgaver, som involverer personoplysninger.

Kortlægning af virksomhedens politikker skal give svar på:

  • Hvilke typer personoplysninger indsamler I?
  • Hvorfra indsamler I jeres personoplysninger?
  • Hvordan indsamler I jeres personoplysninger?
  • Videregiver I jeres personoplysninger og i givet fald til hvem?
  • Hvor og hvordan gemmer I jeres indsamlede personoplysninger?
  • Hvordan bruger I jeres personoplysninger? Og hvad har I af fremtidige planer for brug af dem?
  • Har I styr på, hvordan og evt. hvornår I sletter personoplysningerne?

 

Hvilke krav er der til ERP-systemet?

GDPR stiller følgende krav til ERP-systemet: 

 

1. Privacy

Brugerne har ret til følgende vedrørende de oplysninger, som I gemmer om dem:

  • At få dem udleveret
  • At få rettet fejl i oplysningerne
  • At få dem slettet
  • At gøre indsigelse mod behandling af deres personoplysninger
  • Ret til at ”blive glemt” – altså at få sikkerhed for, at de slettes efter den periode, hvor der er givetsamtykke til, at de anvendes

 

2. Kontrol og information

Virksomhederne skal:

  • Beskytte data og oprette sikkerhedsforanstaltninger
  • Informere myndighederne ved brud på sikkerheden
  • Indhente brugernes samtykke til at behandle data
  • Bevise sporbarhed i behandling af data

Microsoft Dynamics NAV har godt styr på sikkerheden i it-systemerne og forpligter sig til at følge lovgivningen på området.

Men virksomheden skal også have styr på sine processer. Det er vigtigt at kunne dokumentere, hvordan og hvornår, du har modtaget brugernes samtykke til at behandle data, og du skal have styr på, hvorvidt data tages ud af ERP-systemet. I skal ligeledes tage stilling til rettigheder i DSM-systemet: hvem kan se hvilke data, og hvem kan ændre og slette personoplysninger.

 

3. Gennemsigtighed

Virksomhederne skal:

  • Fortælle brugerne, at virksomheden indsamler data
  • Fortælle brugerne, hvorfor virksomheden indsamler data
  • Fortælle brugerne, hvornår data bliver gemt og slettet

 

4. Dine opgaver med GDPR

For at komme i gang med de nye opgaver i GDPR, kan I støtte jer til følgende disposition:

  • Få kortlagt jeres behandling af personoplysninger – i hvilket omfang I håndterer personoplysninger
  • Formuler en overordnet datapolitik og definer arbejdsprocesser
  • Sikre, at IT-systemer lever op til sikkerhed og understøtter jeres processer omkring håndtering af personoplysninger
  • Sikre, at I har databehandler-aftaler med alle, som behandler / opbevarer data for jer
  • Etabler adgang for personer til egne data
  • Uddanne medarbejdere, der har adgang til personoplysninger
  • Udarbejde politikker for transparens, kontrakter og betingelser for samtykke
  • Overvåge overholdelse af datapolitikker og advisere myndigheder om brud
  • Revidere og opdatere datapolitikker
  • Ansætte en Data Protection Officer, hvis påkrævet

 

Hvor er der hjælp at hente?

Hos JMA har vi valgt at tage kontakt til en specialist på området, ligesom vi har indkøbt software til at støtte op om etablering af nye processer. Du er meget velkommen til at kontakte JMA i tilfælde af spørgsmål på telefon 8711 0000.

Her er et par gode links til mere hjælp:

Microsoft har en "Get started"-guide, som du kan benytte dig af

Erhvervsstyrelsen har lavet et udmærket hjælpeværktøj kaldet PrivacyKompasset. Det kan findes her: https://privacykompasset.erhvervsstyrelsen.dk

Se også mere i vores JMA guide GDPR - General Data Protection Regulation