Lasse Ahm Consult var 26. oktober 2017 rammen om en vellykket inspirationsaften med GDPR certificeret konsulent og Lead Auditor Thomas Riisager fra Dcide ApS.
Thomas Riisager delte ud af sin store viden inden for netop Persondataforordningen og fortalte detaljeret om de mange nye tiltag i forbindelse med implementeringen.
Highlights fra præsentationen:
Thomas Riisager kom i sit oplæg ind på hvilke data vi skal være opmærksomme på – herunder om vi i virkeligheden får data, som vi helst ville være foruden. Når først vi har dataene – især hvis det er følsomme data – så skal vi også opbevare dem sikkert og vide hvor de er.
Ligeledes er det vigtigt at være opmærksom på, at brud på data kan ske lige så vel “indefra” i
Vær opmærksom på de tre begreber “Dataansvarlig”, “Databehandler” og “Den registrerede”. Er du dataansvarlig er du ansvarlig for hele kæder af de databehandlere, som du samarbejder med. Vær derfor også opmærksom på, hvem du deler dine data med.organisationen som et hackeranbreb, der kommer udefra.
Du skal kunne demonstrere overensstemmelse med forordningen – det som kaldes Compliance. Altså kunne eftervise, at du er i overensstemmelse med kravene i forordningen.
Du skal også kunne udlevere data du har registreret – eksempelvis på en medarbejder – på forlangende fra den registrerede. Dette skal ske inden for rimelig tid.
Der er oplysningspligt. Det vil sige, at du har pligt til at oplyse om, hvad du registrerer og hvad disse registreringer anvendes til.
Ved indsamling af personfølsomme data skal der oftest gives samtykke til dette. Samtykke skal således være et tilvalg og ikke et fravalg. Bemærk også, at det skal være lige så nemt at trække sit samtykke tilbage, som det var at give samtykket.
Når der indsamles data skal det ske i overensstemmelse med lovlighed, rimelighed og gennemsigtighed. Det er altså vigtigt, at have styr på sit “hjemmelsgrundlag” – altså lovgivningen på området, der retfærdiggør, at data indsamles og opbevares.
Vigtigt er det også, at at minimere sine data. Indsaml derfor ikke yderligere data end du absolut har brug for og sørg for, at det kun er de personer, som har brug for disse data, der har adgang til dataene.
I virksomheder må man eksempelvis gerne registrere sygedage (omfanget af sygefraværet) og effektivitet på den enkelte medarbejder, men det er ikke tilladt at registrere årsager til sygefraværet. Disse data bliver personfølsomme data og skal – hvis de indsamles – behandles som personfølsomme data.
Vigtigt er det også, at der i virksomhederne eksisterer klare retningslinjer for, hvordan ledere og medarbejdere skal arbejde sikkert med data. Hvad må ledere og medarbejdere og hvad må de ikke. Eksempelvis med ansøgninger, CV‘er, rundsendelse af mails med persondata i etc.
Thomas Riisager fortalte også om kravene om anmeldepligten til Datatlsynet (inden for 72 timer) i forbindelse med et eventuelt databrud og at virksomheden skal have et beredskab, der kan håndtere et eventuelt databrud.
En meget stor tak til Thomas Riisager, Dcide ApS for et yderst spændende og detaljeret oplæg.
→ Se eller gense filmen Hvis din bagerjomfru var en app (skjult kamera)
(Download af præsentation og det øvrige materiale fra inspirationsaftenen var kun muligt i en begrænset periode.)
Kontaktdata:
Thomas Riisager, Ejer Dcide ApS og Partner i GDPR Partner
Telefon: 60670910
E-mail: thomas@dcide.dk, tri@gdprpartner.dk