GDPR & compliance

De krav en virksomhed skal overholde afhænger ofte meget af branche, produkt, afsætningsform, størrelse osv. Udover de egentlige lovmæssige krav en virksomhed skal overholde som f.eks. GDPR, kan der også optræde en række andre krav der skal overholdes. Hos Apparo ser vi stadig flere og flere kontrakter, hvor virksomheder stiller stadig større krav til deres leverandører og samarbejdspartnere om, at forskellige forhold skal overholdes som krav for at opretholde samarbejdet f.eks. sociale krav, klima krav eller andre krav baseret på værdier i højere grad end lov.

Uanset hvilken form for krav din virksomhed skal efterleve, så er det vigtigt, at der udarbejdes interne processer og procedurer til at sikre overholdelse af krav, men det skal i høj grad også sikres, at disse processer og procedurer overholdes internt i virksomheden når den arbejder.

Compliance skal forebygge retssager, bøder, sanktioner fra myndigheder og imagetab. Behovet for compliancetjek varierer fra branche til branche og fra virksomhed til virksomhed. Omfanget og indholdet af compliancetjekket fastlægger vi sammen, baseret på de konkrete behov og ønsker.

”Vi hjælper dig til at få kontrol og professionel styring i din virksomhed”

GDPR

GDPR er forkortelsen for ”General Data Protection Regulation”.
Reglerne om beskyttelse af persondata er højaktuelle for alle virksomheder, der i større eller mindre omfang behandler, opbevarer og/eller videregiver data om personer. Der har længe været regler om beskyttelse af data, men siden den nye persondataforordning trådte i kraft i 2018, er kompleksiteten øget og konsekvenserne for manglende overholdelse betydelige, ligesom den hastige digitale udvikling varsler om yderligere regler på området i fremtiden. Der findes mange eksempler på politianmeldelser og store bøder, når Datatilsynet kommer på besøg for at kontrollere overholdelsen af reglerne.

Persondata er ALLE oplysninger om en identificeret eller identificerbar fysisk person, f.eks. navn, adresse, cpr-nummer, telefonnummer, e-mailadresse, pasnummer, fotos, videooptagelser, kreditkortnumre, IP-adresser, testresultater, straffeattest, helbredsoplysninger, religiøs overbevisning, medlemskaber af foreninger mv. samt alle data der er personhenførbare f.eks. medarbejdernumre etc.

I Apparo har vi stor praktisk erfaring med at rådgive og hjælpe både små og store virksomheder i deres overholdelse af reglerne. Dette både i relation til udarbejdelse af de enkelte processer, men i høj grad også i de mange juridiske overvejelser der er en naturlig konsekvens af arbejdet med GDPR.

Vi anbefaler vores kunder, at de vælger en egentlig IT-løsning til at strukturere deres processer, holde styr på databehandleraftaler og slettepolitiker m.fl., opsætte lovmæssige kontroller, og skabe overskuelighed over de forskellige processers afhængigheder, blot for at nævne nogle få af de fordele, som vi har erfaring med.

Vi kan rådgive og hjælpe om GDPR uanset hvilken leverandør virksomheden vælger eller har valgt, og vi kan også bistå i valg af løsning, såfremt det måtte være ønsket.

Hvad er compliance?

Hvad er Compliance? Compliance betyder “efterlevelse af krav”. Det kan være krav opstillet af lovgivning, omverdenen eller organisationen selv. Ofte er kravene branchespecifikke eller afhængige af, i hvilke lande man driver forretning.

Hos Apparo bistår vi bl.a. med identifikation af risici og udarbejdelse af interne politiker.

Når vi skal sikre at din virksomhed er ”compliant”, vil vi bl.a. skulle se på følgende:

  • Facilitering af processer
  • Risikovurdering
  • Optimering af organisationen
  • Ledelsesrådgivning
  • Kontrakter
  • Forandringsprocesser

Compliance tjek

Et compliance-tjek afdækker, om reglerne efterleves, identificerer risikoområder og anbefalinger til at reducere eller eliminere risici for manglende overholdelse af reglerne.

Et compliance-tjek vil normalt omfatte en vurdering af blandt andet:

  • Er der nødvendig hjemmel til behandling af personoplysninger?
  • Indhentes samtykke på korrekt måde?
  • Overholdes oplysningsforpligtelsen over for de registrerede?
  • Er databehandleraftaler og kontrol af databehandlere på plads?
  • Håndteres underdatabehandlere korrekt?
  • Sker overførsel af persondata til tredjelande lovligt?
  • Bruger I cloud computing, og overholder det kravene til databehandlere, (overførsel til tredjelande osv.)?
  • Håndteres personaledata korrekt?
  • Sker brug af sociale medier efter reglerne?
  • Er anmeldelser og tilladelser tilstrækkelige?
  • Er der behov for (opdatering af) politikker og procedurer?
  • Overholdes eventuelle sektorspecifikke regler?

Hvad er Persondata (GDPR)?

Vi tilbyder et compliance-tjek af din organisation, hvor vi kortlægger jeres behandling af persondata og undersøger, om I efterlever persondatalovgivningen. I er også altid velkommen til at kontakte os, hvis I har løbende spørgsmål til håndtering af Persondataforordningen.

Hvad er Persondata (GDPR)?

Persondata er ALLE oplysninger om en identificeret eller identificerbar fysisk person, f.eks. navn, adresse, cpr-nummer, telefonnummer, e-mailadresse, pasnummer, fotos, videooptagelser, kreditkortnumre, IP-adresser, testresultater, straffeattest, helbredsoplysninger, religiøs overbevisning, medlemskaber af foreninger mv. Persondata omfatter altså både fortrolige og følsomme oplysninger, oplysninger om andre rent private forhold og almindelige ikke-følsomme oplysninger.

GDPR overvejelser

Når virksomheden skal påbegynde sit arbejde med GDPR, skal der foretages en række overvejelser og udarbejdes skriftlige processer der beskriver, hvordan data behandles i virksomheden. Nogle af disse overvejelser er:

  • Hvilke almindelige ikke-følsomme og følsomme personoplysninger bliver behandlet?
  • Med hvilken lovhjemmel i bliver disse behandlet?
  • Med hvilket formål bliver oplysningerne behandlet?
  • Hvordan bliver personoplysningerne indsamlet?
  • Hvordan behandles personoplysningerne?
  • Er den registrerede oplyst om behandlingen?
  • Videregives personoplysninger?
  • Bliver der anvendt en databehandler i behandlingen?
  • Er der lavet en databehandleraftale?
  • Hvilken kategori den registrerede tilhører f.eks. medarbejdere, kunder, ansøgere, samarbejdspartnere etc.
  • Hvor lang tid opbevares personoplysningerne?
  • Hvordan og hvornår slettes data?
  • Hvilke tekniske og organisatoriske sikkerhedsforanstaltninger har virksomheden taget?
  • Overføres persondata til tredjelande?
  • Hvor opbevares persondata?