25. maj 2018

Persondataforordning råd nr. 4

Persondataforordningen træder i kraft nu. Men måske er du, ligesom mange andre, ikke helt i mål med, hvordan I lever op til forordningen? Her i maj, hvor forordningen træder i kraft, kan du læse Redmarks anbefalinger og 5 gode råd. Vi er nået til det 4. gode råd fra Redmarks ekspert i persondataforordningen og nu handler det om få overblik og lave en samlet vurdering for hver enkelt persondata.

Redmarks ekspert i persondataforordningen og statsautoriseret revisor, Mark Leerdrup, giver i en serie på fem gode råd hans bud på, hvordan mindre og mellemstore virksomheder kommer tættere på målet. Vi har tidligere fået styr på data, systemsikkerhed, processer og sletning – nu skal vi kombinere faktorerne og lave en samlet vurdering.

 

1. Hvordan får vi overblikket på plads?

”Der er mange forskellige måder og værktøjer, der kan bruges. Jeg foretrækker selv at bruge Excel, fordi der er mulighed for at bruge adskillige ark og dermed bryde noget af kompleksiteten op i bidder”.

”Jeg har opstillet et meget simpelt overbliks-ark i bilag 1, som kan downloades via link nederst”, siger Mark Leerdrup. ”Det er selvfølgelig ikke den fyldestgørende dokumentation, men giver et godt overblik. I princippet har jeg bare tilføjet nogle ekstra overskrifter til det oprindelige bilag 1 (se råd nr. 1), så hvis du allerede har udfyldt det, kan de gule felter egentlig bare copy/pastes derover”.

”Jeg har set adskillige Excel-modeller, der er meget mere detaljerede og rigtigt gode. Men udfordringen er, at man kan miste overblikket, hvis det bliver for omfangsrigt og kan ikke printes på en fornuftig måde. Min oplevelse er, at rigtigt mange meget gerne vil kunne se et samlet overblik på et stykke papir”, siger Mark, der for øvrigt også har tilføjet et eksempel på udfyldelse for en ansøgning i bilag 1.

2. Hvilke data?

I råd nr. 1 kom der styr på, om I har data, hvem der har dem, om det er ”need-to-have” og om I videregiver.

”Lad os se på det praktiske eksempel med ansøgningen, som også omtales i råd nr. 3. Vi starter med første overskrift og ja, I har data. I den forbedrede proces, så blev det regnskabschefen, der har data i sin email og lægger ansøgningerne på et fælles drev, hvor direktøren og produktionschefen har adgang. De printer ind imellem ansøgningerne, når der skal holdes møder/samtaler. Så under overskriften ”Hvem…”, er det altså de tre, der har adgang – regnskabschefen har derudover data liggende i sine emails.”, siger Mark

”Er det ”need-to-have”: svaret er ja - der er et relevant formål med at indsamle data, fordi både personen og virksomheden er interesserede i, at der udvælges en person til ansættelse. Regnskabschefen har måske ikke et absolut behov for adgang, men der skal holdes administrativt styr på alle ansøgningerne og derfor er det ok”, mener Mark.

Videregivelse er næste overskrift i bilag 1, men det ville være usædvanligt for ansøgninger og svaret er derfor nej og samtykke bliver derfor IR: ikke relevant. I givet fald, skulle I indhente samtykke fra personen for at videregive og husk, at et samtykke kan tilbagekaldes af personen, hvorefter data så skal slettes. I det hele taget, er det en udbredt misforståelse som jeg tit støder på, at ”persondata-reglerne går ud på at få samtykke til alt”. Det er slet ikke tilfældet, fordi indsamling og brug af persondata oftest er i både personens og virksomhedens interesse, eller er nødvendige for at opfylde en kontrakt. Disse tilfælde kræver ikke samtykke.

3. Systemsikkerheden

Systemerne skal danne en sikker ”ringmur” omkring jeres persondata og være sat op med den rigtige adgangsbegrænsning. Der skal indhentes databehandleraftaler, hvor data ”hostes” af andre eller hvor andre behandler jeres persondata. I bilag 2 (se råd nr. 2) lavede I en overordnet vurdering af sikkerheden i jeres systemer og den får vi brug for nu.

”Lad os se på eksemplet igen: vi ved, at regnskabschefen får ansøgningerne via email, lægger dem på fællesdrev og der printes fysiske kopier. Spørgsmålet er så, om I er i ”grøn” på systemerne? I skal vurdere om (1) emails ligger sikkert med stærke adgangskontroller, at der eventuelt er en databehandleraftale, hvis det er i ”sky/hosting”, (2) at fællesdrevet har stærke adgangskontroller og evt. databehandleraftale ”sky/hosting/back-up”. I skal også sikre jer, at (3) fysiske prints opbevares sikkert, som det tidligere nævnt. Vi forudsætter i eksemplet, at I er i ”grøn” i bilag 2 på systemsikkerheden for emails, fællesdrev og fysiske prints, og derfor bliver svaret i oversigten: god”, siger Mark.

”Hvis det halter på systemsiden, skal der sættes ind på at blive mindst gul/grøn, fordi systemsiden ofte påvirker mange forskellige data, der passerer igennem – og det svageste led har stor indflydelse på den samlede sikkerhed. Hvis ét system er i rødt i bilag 2, f.eks. fællesdrevet, så skal problemet fixes eller alternativt skal processen ændres, så persondata ikke længere opbevares herpå”, mener Mark.

4. Processer og sletning

Virksomheden skal udarbejde en beskrivelse (eller et flow-chart) over, hvordan data cirkulerer. Det kan være noget besværligt, hvis det ikke samtidig overvejes, hvordan processen kan forbedres og gøres mere effektiv – og hvordan sletning kan ske uden for meget bøvl med f.eks. emails.

Husk på proces-eksemplet fra råd nr. 3, hvor regnskabschefen blev omdrejningspunktet for indgangen af ansøgninger og den efterfølgende sletning. Processen blev beskrevet, fungerede effektivt, den var simpel, og sletning blev ligetil og nemt. Derfor bliver svarene i bilag 1 ”ja” til både processer (at det er beskrevet/sikkert) og til sletning (der er en regel for det og det er nemt).

5. Hvad betyder så ”samlet vurdering”?

”Den samlede vurdering er summen af de faktorer, som vi nu har været igennem: opfylder vi de mest centrale krav i persondataforordningen for hver enkelt persondata og – hvis ikke – hvor er det så, at det halter? I eksemplet for en ansøgning, kommer vi i mål. Desuden er vi kommet i grøn med tre centrale systemer, og det bliver derfor meget nemmere når vi arbejder os ned igennem listen over de andre data, fordi en del heraf vil ligge i de samme systemer”, mener Mark Leerdrup. 

6. Nu er du igennem det 4. gode råd

Mark Leerdrup fortæller, at du nu burde være klar på at kunne foretage en samlet vurdering for hver persondata, som virksomheden behandler. Der er mange andre regler, og du skal naturligvis også se på de persondata, der indsamles på kundesiden - men du kan anvende helt samme systematik herpå.

”Det er meget vigtigt at understrege, at mine 5 gode råd selvfølgelig ikke er en facitliste for, hvordan du kommer i mål med jeres persondata-projekt. Men du kommer et godt stykke af vejen med god struktur og mit allerbedste råd er fortsat, at du igennem hele forløbet overvejer om din egen indsigt er tilstrækkelig, lytter til din mavefornemmelse og kontakter din Redmark rådgiver, når du kommer i tvivl” afslutter Mark Leerdrup.

Næste og sidste gode råd vil handle om politikker for persondata. Mange modtager lige nu emails om ændrede persondatapolitikker fra leverandører og kunder. Hvor mange politikker skal der til og hvem bør meddeles hvad? Dette er nogle af de spørgsmål, som Mark Leerdrup, Redmarks ekspert i persondata vil give sine bud på i det 5. gode råd, der kommer snart.

Har I brug for personlig rådgivning om persondataforordningen? Redmark er altid klar til at hjælpe jer. På vores hjemmeside www.redmark.dk/Specialistomraader/Persondata kan I læse mere, om den rådgivning vi tilbyder og kontaktpersoner på vores kontorer i Aalborg, Aarhus og København. I er også velkommen til at kontakte Mark Leerdrup direkte på telefon 41 96 58 79 for en uforpligtende snak, om, hvordan Redmark kan hjælpe jer.

DOWNLOAD BILAG 1 HER>>

DOWNLOAD BILAG 2 HER>>

Tak for din tilmelding

Du er nu tilmeldt vores nyhedsbrev, og du vil løbende modtage relevante nyheder om regnskab,revision, skat, moms, afgifter og økonomi generelt. Herudover vil du modtage løbende nyheder om Redmark.

Læs mere om Redmark på vores hjemmeside, og husk på, at du altid er velkommen til at kontakte os.

icon-close