Det er fortsat som at navigere i et minefelt, når talen falder på GDPR. Alle er omfattet af reglerne, der groft sagt handler om at passe godt på de data, vi får fra kunder, medarbejdere m.v. Men husker du at have fokus herpå med jævne mellemrum?
Siden maj 2018 har de danske bilvirksomheder skulle navigere i det hajfyldte farvand, der hedder GDPR. De første par måneder var der fuld fokus på arbejdet, og de fleste lagde sig i selen for dog at forsøge at overholde loven - men det kan være særdeles vanskeligt, når loven er så uklar, som den er.
I sekretariatet får vi sjældent henvendelser omkring GDPR. Generelt er de fleste nok på plads med en privatlivspolitik til såvel kunder som medarbejdere, der indeholder de lovpligtige oplysninger om, hvilke data der opbevares, hvordan og hvorfor og hvilke rettigheder, den registrerede har.
Datatilsynet arbejder fortsat på at få afklaret rækkevidden af lovgivningen og kommer jævnligt med udtalelser om det ene og det andet. Senest er funktionen Google Analytics blevet dømt ude af Datatilsynet som følge af, at oplysningerne fra disse analyser sendes til USA; et sted, der ikke er datamæssigt sikkert.
Hvis du anvender Google Analytics til web-statistik, så er det bedste råd p.t. at ophøre hermed. Aktuelt er Datatilsynets eneste råd til brugerne for at skabe en større sikkerhed omkring brugen, at foretage pseudonymisering af oplysningerne - men Datatilsynet kan ikke endeligt bekræfte, at en pseudonymisering vil være tilstrækkelig.
En anden - noget mere håndgribelig og lavpraktisk - problemstilling er, hvordan man håndterer konstaterede eller mistænkte brud på datasikkerheden. Et brud kan i den forbindelse være alt fra en mail, der sendes til en forkert e-mailadresse, til en faktura, der udstedes til en forkert kunde eller en hacket mail-adresse. Alle sådanne brud skal noteres i en eventlog/en log over hændelser.
Ikke alle brud skal nødvendigvis anmeldes til Datatilsynet, men for at man som virksomhed/dataansvarlig kan vise, at man har taget stilling til en hændelse, så skal de noteres.
Det gøres i praksis i en eventlog, hvor man beskriver, hvad der er sket, hvilke data der er involveret, risikoen for de registrerede og om forholdet er anmeldt til Datatilsynet eller ej. Hvis der ikke sker anmeldelse, så skal det beskrives, hvorfor det ikke er gjort. Alt skal selvfølgelig dateres.
Du kan finde et eksempel på en eventlog - sammen med en række andre dokumenter til brug for håndtering af GDPR - her: Persondataret/ GDPR
Er du i tvivl om, hvorvidt du er på plads, så husk, at du kan booke en konsulent fra Dansk Bilbrancheråd til at gennemgå din virksomhed i forhold til GDPR, så I sammen kan få styr på eventuelle løse ender. Det gælder uanset hvor langt du er i processen. Kontakt sekretariatet herom - 43 99 66 33.