GDPR-lovens faldgruber

The General Data Protection Regulation (GDPR) trådte i kraft den 25. maj 2018 og har ændret vilkårene for databeskyttelse markant, siden dens indførelse. Dens formål er at fastsætte regler for, hvordan virksomheder må anvende vores data, hvilket giver enkeltpersoner flere muligheder og forbedret kontrol over vores personlige data.

Selvom GDPR-loven i år fylder 5, var 2022 alligevel rekordår for GDPR-bøder udstedt i EU. Det fortæller os, at vi fortsat skal gøre en stor indsats for, at alle reglerne i GDPR-loven efterleves.

Mange virksomheder oplever udfordringer med at navigere i GDPR's kompleksitet. Lad os se på nogle almindelige faldgruber:

Et af de vigtigste elementer i GDPR-lovgivningen er "retten til at blive glemt". Det betyder, at du altid har ret til at blive informeret om, hvilke data der er gemt på dig, og til at anmode om at få dem slettet.

Desuden har virksomheder kun lov til at opbevare data, så længe de er relevante. Men hvor længe er "relevant"? Lad os tage et eksempel: Du arbejder i en HR-afdeling, og en af dine medarbejdere skal på barselsorlov. Du har oplysninger om, at medarbejderen går på barsel på en bestemt dato, men hvor længe har du lov til at gemme disse oplysninger? Er den relevant i de næste 5 eller 10 år?

Det er vigtigt, at I som virksomhed har en dokumenteret opbevaringspolitik og databehandleraftale, der tydeligt beskriver, hvor længe data opbevares, og hvordan de slettes. Og hvis du er i tvivl om, hvor længe forskellige data må opbevares, kan du altid rådføre dig med databeskyttelsesmyndighederne.

Processen med at slette data og holde styr på, hvornår data skal slettes, kan være en tidskrævende og kompliceret proces for mange virksomheder. Heldigvis findes der softwareløsninger til dokumenthåndtering, som kan minde dig om, hvornår det er tid til at slette data, eller gøre det automatisk på den dato, du angiver. Løsningen kan også hjælpe med at sikre, at data opbevares sikkert med kryptering og adgangskontrol for at forhindre uautoriseret adgang.

Ifølge Canons egen undersøgelse har respondenter med IT-beslutningsansvar angivet, at de i høj grad oplever problemer med at modtage og dele information. 34% har angivet, at de oplever vanskeligheder med at modtage information, mens 31% ser deling af information som en stor udfordring.

For mange virksomheder foregår modtagelse og deling af information i e-mail-indbakken. I en travl hverdag, hvor vi arbejder både hurtigt og rutinemæssigt, bliver mange e-mails videresendt. Men har du tænkt over, hvilke oplysninger der kan gemme sig i bunden af e-mailtråden? Er det information, som måske ikke skulle have været videresendt?

Jo flere opgaver vi håndterer manuelt, jo flere fejl begår vi. Den største trussel i de fleste virksomheder er de ansatte selv, så awareness-træning er altid en god investering.

Men ved at minimere mængden af manuelle processer og erstatte dem med automatiserede, kan man reducere antallet af fejl betydeligt. Workflows, der automatisk deler og videresender dokumenter, kan oprettes via dokumenthåndteringssoftware, hvor dokumenter opbevares sikkert i skyen ved hjælp af adgangskontrol og kryptering.

I dag bruger de fleste virksomheder online ansøgningsformularer, når de rekrutterer nye medarbejdere, og det skyldes til dels GDPR-lovgivningen. Men nogle virksomheder er ikke klar over, at de fortsat kan modtage ansøgninger via e-mail, heriblandt uopfordrede ansøgninger.

De fleste ansøgninger indeholder persondata, og der er selvfølgelig regler for, hvordan disse skal håndteres. Hvis du modtager en ansøgning via e-mail, er det vigtigt at huske, at ansøgningen skal slettes efter den lovpligtige periode og også slettes i papirkurven bagefter. Og hvis du har besvaret eller videresendt mailen med ansøgning og/eller CV, skal du også slette mailen i 'sendt post'. Og endelig er det vigtigt at huske at informere afsenderen om, hvordan deres data håndteres.

For at undgå denne tidskrævende og komplicerede proces er en effektiv og GDPR-kompatibel løsning i stedet at bruge en onlineformular, hvor ansøgninger automatisk sendes til den rigtige modtager og slettes efter den lovpligtige periode.

Hvordan de forskellige oplysninger skal håndteres, afhænger af, hvilken type oplysninger, der er tale om.

Personoplysninger er inddelt i de 3 følgende kategorier:

• Personoplysninger (ikke-følsomme oplysninger)
• Særlige kategorier af personoplysninger (følsomme oplysninger)
• Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger

Selvom vi alle arbejder med hinanden, kan vi nemt glemme, at de oplysninger, vi har på vores computerskærm, faktisk ikke vedrører vores kollega. Tænk over, hvordan jeres kontor er organiseret, især i afdelinger, der håndterer mange følsomme persondata, såsom HR.

Hvis det ikke er muligt at afskærme medarbejderne helt, er det en god idé at bruge et beskyttelsesfilter, der kan sættes fast på skærmen.

Det gælder selvfølgelig også, når man arbejder hjemmefra eller et andet sted, f.eks. på en café. Medarbejdere, der håndterer særligt følsomme oplysninger, bør først og fremmest ikke arbejde fra et offentligt sted. Derudover bør vi alle være særligt opmærksomme på, hvem der kigger med, og huske at låse vores computer, hvis vi forlader den. Det gælder uanset, hvor vi arbejder fra.

Print er en ofte overset faldgrube, både under printprocessen, og hvordan vi håndterer dokumentet bagefter. Hvis din virksomhed ikke har en follow-me-løsning til print, er en sådan løsning det første skridt mod GDPR-compliance.

Follow-me betyder, som navnet antyder, at dokumentet følger brugeren - fra man trykker ’print’ på computeren, til dokumentet er udskrevet på printeren. Det forhindrer, at dokumentet ligger i printerens udskriftsbakke og er tilgængeligt for uvedkommende. Du kan læse mere om fordelene ved follow-me print her.

Når dokumentet så er printet, er det selvfølgelig også vigtigt at håndtere det korrekt. Hvis dokumenterne skal opbevares fysisk i f.eks. et ringbind, skal de låses inde. Og når der ikke længere er brug for dokumentet, skal det makuleres på korrekt vis.