GDPR – Databeskyttelse for små virksomheder

Hvordan adskiller efterlevelse af GDPR sig for store og små virksomheder?  

Datatilsynet har netop lanceret et ”GDPR-univers for små virksomheder” – men hvad er egentlig forskellen på, om du er en stor eller lille virksomhed, når det kommer til efterlevelse af reglerne i GDPR. 

Guiden består overordnet af 7 punkter: GDPR-univers for små virksomheder (datatilsynet.dk) 

  • Trin 1: Skab overblik 
  • Trin 2: Spørg dig selv “hvorfor?” 
  • Trin 3: Husk at slette 
  • Trin 4: Oplys om, at du behandler personoplysninger 
  • Trin 5: Sørg for at have gode procedurer 
  • Trin 6: Husk sikkerheden 
  • Trin 7: Du er også ansvarlig, når du deler 

Har du styr på de 7 punkter, er du klar til f.eks. et tilsyn eller en kundehenvendelse omhandlende GDPR. Denne konklusion gælder, uanset om du er en stor eller en lille virksomhed.  

Der kan fremhæves to centrale elementer, der gør, at efterlevelse af GDPR adskiller sig for store og små virksomheder, og som gør det ”lettere” for små virksomheder, at efterleve GDPR: 

  1. Kompleksitet/fragmentering i arbejdsprocesser, 
  1. Forståelse for og accept af ”forkerte” vurderinger. 

Kompleksitet/fragmentering i arbejdsprocesser 

Jo større skala, jo mere komplekst. Sådan har tingene det ofte med at blive – eller i hvert fald ”se ud”. Derfor kræver det forholdsmæssigt flere ressourcer at kortlægge og drifte et complianceprogram i en stor virksomhed, fordi den nødvendige viden om dataflowet i virksomhedens mange IT-løsninger og forretningsprocesser er spredt ud på mange forskellige medarbejdere. 

I en mindre virksomhed er processerne ofte mere overskuelige, og der vil typisk være én person, der kan beskrive alle relevante dataflows og processer. Dette element gør efterlevelsen af GDPR lettere for de mindre virksomheder.  

Forståelse for og accept af ”forkerte” vurderinger 

Det er Datatilsynets eksplicitte holdning, at hvis der er gjort en ærlig indsats for at efterleve de databeskyttelsesretlige regler, tæller det positivt med i deres vurdering. Heri ligger, at en stor virksomhed med jurister ansat i højere grad forventes at lave korrekte vurderinger. 

Kan du som lille virksomhed vise, at du har ydet en ærlig indsats for at følge reglerne, vil en evt. forkert vurdering med altovervejende sandsynlighed ikke blive sanktioneret med bøde. Det modsatte kan imidlertid være tilfældet, hvis du bevidst ikke har forholdt til dig til reglerne. Derfor er anbefalingen fra os, at man som minimum gør en ærlig indsats. 

Sådan efterlever små virksomheder GDPR 

Vigtigst af alt: Det er en overskuelig opgave! 

Anskaf en IT-løsning, der er indrettet til at styre og holde overblik over ovenstående 7 trin (compliancesystem). Sådan en løsning kan fås for mellem 500 – og 1.000 kr. om måneden. Udpeg herefter en medarbejder – evt. dig selv – som ansvarlig for at udføre GDPR-relaterede opgaver. 

Compliancesystemet er indrettet til at hjælpe dig med at kortlægge og dokumentere relevante oplysninger omkring behandling af personoplysninger. Som lille virksomhed bør det ikke tage lang tid at skabe et overblik over behandlingsaktiviteterne. 

I forbindelse med kortlægningen skal der foretages forskellige vurderinger om f.eks. behandlingsgrundlag, risici forbundet med behandlingsaktiviteten samt sletteregler. I den sammenhæng laver du din bedste vurdering og skriver dine overvejelser ned – og så ikke mere. Du skal ikke hænge dig i detaljerne, men derimod bruge din sunde fornuft.  

Når det indledende arbejde er gjort, vil der løbende være en opgave med at holde beskrivelser og vurderinger opdaterede samt faktisk at efterleve de “regler” om f.eks. sletning, der defineres i forbindelse med kortlægningen. Til dette formål kan der med fordel udarbejdes interne procedurer og kontroller, der sikrer efterlevelsen løbende samt at der ved større ændringer i dataflow – f.eks. i forbindelse med indkøb af et nyt HR- eller CRM-system, indkøring af nyt markedsføringsmedie e.l., sker en opdatering af oplysningerne i compliancesystemet.

Afrunding 

Ovenstående indlæg forsøger at afdramatisere efterlevelse af GDPR for små virksomheder som en kæmpestor og uoverskuelig opgave. Har du gjort en ærlig indsats for at efterleve de 7 punkter ovenfor, behøver du ikke at ikke at ”frygte” henvendelser fra Datatilsynet, kunder eller samarbejdspartnere om GDPR.

,

Kontakt Unitas – din partner i sikkerhed og compliance​

Unitas leverer pålidelig rådgivning inden for compliance, IT- og informationssikkerhed. Med en pragmatisk tilgang hjælper vi virksomheder i regulerede brancher med at håndtere sikkerhed og driftsansvar effektivt. Kontakt os for en snak om, hvordan vi kan hjælpe dig.

Formular til kontaktside

Vi kaster om os med viden...

Bestil dit gratis materiale her og modtag det om et par minutter i din indbakke. Tjek for en sikkerheds skyld din SPAM-folder om nødvendigt.

Få tilsendt materiale bestilt på hjemmesiden

Med på en læser? Tilmeld dig Unitas’ nyhedsbrev

Tilmeldingsformular til nyhedsbrev

UNITAS sårbarhedsscanning