GDPR-PROCESSEN HOS ITAGIL
GDPR-regler er både komplicerede og mange. Hos ITAGIL er vores proces designet til at være så simpel som mulig –
så kan jeres virksomheds IT blive GDPR-compliant.
Sikkerhedsprofil
Første skridt i vores GDPR-rådgivning er, at en konsulent gennemgår jeres virksomheds IT-infrastruktur fra A-Z såvel som en analyse af branchen jeres virksomhed befinder sig i.
Dokumentation
Med udgangspunkt i jeres sikkerhedsprofil bliver jeres virksomhed tildelt en sikkerhedskategori. Her benytter ITAGIL sig af et DPO-hjul, der er en visuel præsentation af jeres IT-sikkerhed med GDPR som fokuspunkt.
Implementering
Med udgangspunkt i dokumentationen og DPO-hjulet begynder ITAGIL at optimere jeres IT-sikkerhed så den kan blive GDPR compliant.
Gør som vores andre kunder og få hjælp til GDPR i dag
Hvad er GDPR?
Den generelle databeskyttelsesforordning (GDPR) er en juridisk ramme, der sætter retningslinjer for indsamling og behandling af personoplysninger fra enkeltpersoner, der bor i Den Europæiske Union (EU).
Hvad skal virksomheder have til GDPR?
- En sikker IT-infrastruktur
- En klar IT-politik
- Alle lag i virksomheden skal være bekendt med IT-politikken
- IT-politikken skal overholdes hver dag
En meget simpel sammenfatning af Persondataforordningen kunne lyde således:
Den registrerede accepterer at “låne” sine persondata ud til den dataansvarlige på baggrund af et korrekt oplyst formål, og den dataansvarlige skal kvittere for tilliden ved at passe godt på dataene og kunne dokumentere, at der passes godt på dataene. Den registrerede skal altid kunne trække sit “lån” af persondata tilbage, og den dataansvarlige skal kunne dokumentere, at dette er sket. Hvis et eller flere af disse punkter ikke overholdes, så vil Datatilsynet kunne udstede bøder på op til 4% af koncernens samlede omsætning, pr brud.
Stadig forvirret – Fair nok?
GDPR-rådgivning & Hjælp
Hos ITAGIL får jeres virksomhed tilknyttet en GDPR-konsulent. En GDPR-konsulent er en ekspert i IT-sikkerhed såvel som GDPR-regler. På den måde bliver jeres sikkerhedsprofil udarbejdet med et afsæt i både GDPR-regler såvel som tekniske IT-elementer. Man kan se det som et ægteskab mellem den juridiske og tekniske del, der kendetegner GDPR.
Ligegyldigt hvor jeres virksomhed befinder sig i vejen til GDPR-compliance, så kan ITAGIL rådgive og hjælpe jeres virksomhed.
Hos ITAGIL er vi selv GDPR-compliant fra A-Z. Fra vores cookieboks til vores kantineordning er alle elementer af vores interne sikkerhed omfattet af en IT-politik, der både sikrer vores kunder såvel som os selv.
Vi modtager årligt en ISAE 3402 certificering og vores løbende revisioner er foretaget af PwC.
Vi oplevede ikke at vores daværende leverandør kunne leve op til disse forventninger. Vi tog derfor kontakt til ITAGIL, og vi oplevede fra første dag en professionalisme og solid support og rådgivning. Det at vi har en fast teknisk ansvarlig, som kender vores virksomhed og IT-infrastruktur mener vi er unikt. Jeg kan derfor varmt anbefale ITAGIL som IT-leverandør.
ITAGIL og vores GDPR-løsning
Groft sat op, så er der 2 elementer af GDPR.
ITAGIL er et IT-firma med en holistisk tilgang til virksomheders IT-infrastruktur. Vores GDPR-løsning falder derfor under vores IT-sikkerhed services.
Det betyder, at vi kan gennemgå hele jeres virksomhed for eventuelle svagheder og lukke alle IT-sikkerhedshuller og yde rådgivning for fremtidig beskyttelse. Dette vil også vil forbedre jeres generelle arbejdsmiljø – Dét garanterer vi.
Hvad vi ikke kan gøre, er at ændre virksomhedens kultur og dårlige vaner. Dette er den anden side af GDPR.
Culture eats strategy for breakfast. Sådan går citatet fra Peter Drucker omkring den evige kamp mellem gode intentioner og virkeligheden.
Eksempel: I forbindelse med rekruttering af en ny medarbejder modtager jeres HR-afdeling en lang række ansøgninger. I samarbejde med ITAGIL har jeres virksomhed opsat en krypteret e-mail såvel som en sikker server, hvor alt personfølsomme data bliver håndteret.
Én medarbejder foretrækker dog at printe ansøgningerne ud og læse dem i toget på vej til arbejde. Jeres virksomhed har nu brudt GDPR-reglerne.
Vores GDPR-løsning indeholder rådgivning og udarbejdelse af en IT-politik for at mindske disse risici, men et faktum inden for IT-sikkerhed er, at 90% af alle angreb sker grundet menneskelige fejl.
Cookies og hjemmesider
Jeres hjemmeside er også omfattet af GDPR-reglerne. Her skitserer vi, hvad der skal til for at opfylde GDPR reglerne for hjemmesider.
- En omfattende privatlivspolitik.
- Informer besøgende som det første, hvis I bruger cookies eller anden form for sporing på hjemmesiden.
- Informer om hvad jeres cookies sporer og hvorfor.
- Få jeres brugeres samtykke til at gemme en cookie på deres enhed.
- Giv brugerne adgang til jeres hjemmeside, også selvom de ikke giver samtykke til cookies.
- Indhent og behandl kun data efter at have opnået gyldigt samtykke.
- Dokumentér og opbevar samtykke modtaget fra brugerne.
- Lad det være lige så nemt for dine besøgende at fortryde deres samtykke som det var at give det.
- Efter fravalg skal I sikre jer, at ingen yderligere data indsamles eller videresendes (bortset fra evt. nødvendige cookies).
ITAGIL har udviklet en 100% sikker cookiefunktion. Hvor de fleste cookiebokse indlæser alt sporingskoden og så trækker den tilbage efter den besøgende har taget stilling, så holder vores funktion alt sporingskoden ”ved døren” indtil, der er taget stilling fra brugeren. Denne funktion overholder i modsætning til den anden GDPR-reglerne.
Hvad er en databehandleraftale
En databehandleraftale er en kontrakt, hvori en virksomhed giver tilladelse til at en anden-part har adgang til virksomhedens personfølsomme data.
Eksempelvis er ITAGIL databehandlere for vores kunder, da vi beskæftiger os med IT, hvor der ofte vil være personfølsomme data at finde.
Vi kan anbefale at hente en gratis skabelon til en databehandleraftale hos datatilsynet, hvis man er i tvivl om udformningen.
Ofte stillede spørgsmål til GDPR
Hvornår trådte GDPR i kraft?
Forordningen trådte i kraft den 25. maj 2018 og medførte betydelige ændringer i de nuværende databeskyttelseslove.
Hvem gælder GDPR for?
Enhver organisation, der behandler og opbevarer personoplysninger om EU-borgere, er forpligtet til at overholde de love, der er beskrevet i GDPR. Dette gælder for enhver organisation, uanset om de selv bor i en af de 28 EU-lande eller ej.
Hvilke specifikke regler skal virksomheder følge for at sikre overholdelse?
GDPR artikel 5 siger, at personoplysninger skal:
- Behandles lovligt, retfærdigt og på en gennemsigtig måde
- Samles kun til specificerede, eksplicitte og lovlige formål
- Tilstrækkelig, relevant og begrænset til, hvad der er nødvendigt
- Nøjagtig og opdateret
- Opbevares kun så længe det er nødvendigt og ikke længere
- Beskyttet på en måde, der sikrer dets sikkerhed og integritet
Hvad er sanktionerne for manglende overholdelse af GDPR?
GDPR indførte en differentieret tilgang til bøder, hvilket betyder, at sværhedsgraden af overtrædelsen bestemmer den pålagte bøde.
Den maksimale bøde, en virksomhed kan få, er 4% af deres årlige globale omsætning eller € 20 millioner, alt efter hvad der er højest. For mindre alvorlige overtrædelser, såsom at have uretmæssige optegnelser, er der maksimalt 2% af deres årlige globale omsætning eller € 10 millioner.
Hvad menes der med personlig data?
‘Personlige data’ betyder enhver information, der kan bruges til at identificere en person (kendt som ‘den registrerede’). Dette kan være gennem et hvilket som helst af et antal identifikatorer inklusive navn, cpr-nummer, placeringsdata, e-mail-adresse, telefonnummer, IP-adresse eller postadresse.
Hvad menes der med personfølsomme data
‘Følsomme personoplysninger’ omtales i GDPR som “særlige kategorier af personoplysninger”. De specielle kategorier inkluderer specifikt genetiske data og biometriske data såsom fingeraftryk, iris-scanninger og DNA-prøver.
