Viden og nyheder om GDPR

Følg os og modtag seneste nyt om GDPR, værktøjer og events

Sletning

Sletning

Alt for mange personoplysninger ligger og roder rundt i gamle applikationer og på gamle diske rundt omkring. Det er ulovligt, for man må kun behandle – herunder lagre – personoplysninger, så længe man har et formål med det. I denne artikel vil vi berøre, hvornår man skal slette personoplysninger.

Læs mere ...
Vurder lovligheden

Vurder lovligheden

Førend den dataansvarlige behandler personoplysninger skal man vurdere lovligheden. Man skal derfor finde et retligt grundlag for sine behandlinger. Desuden skal man sørge for at alle de andre forhold i forordningen er opfyldt. I denne artikel vil vi se på, hvordan man sikrer sig et samlet lovligt grundlag for sine behandlinger.

Læs mere ...
Dataetik, rimelighed og GDPR

Dataetik, rimelighed og GDPR

Dataetik er et begreb, der har fået meget offentlig omtale og politisk opmærksomhed i de senere år. Begrebet er imidlertid en noget fluffy størrelse, og det er uklart, hvilke forpligtigelser det implicerer for den dataansvarlige, ligesom det er uklart, hvordan begrebet er relateret til persondataforordningen. I denne artikel vil vi forsøge at skabe sammenhæng mellem dataetik og persondataretten.

Læs mere ...
Overvågning af medarbejderne – hvad må man?

Overvågning af medarbejderne – hvad må man?

Med nyere teknologier er der mulighed for at overvåge medarbejderne ganske betydeligt. Der er i persondataretten også decidere krav til at sikre personoplysninger, som implicerer at medarbejderne nødvendigvis skal overvåges. Men hvor detaljeret må man gå til værks? Det er genstanden for denne artikel.

Læs mere ...
Personaleretlige konsekvenser

Personaleretlige konsekvenser

Organisationer, som behandler personoplysninger uden at iagttage regler i persondataforordningen, kan straffes eller udsættes for andre sanktioner. Der er som regel en fysisk person bag behandlinger. Hvis behandlingen ikke er i overensstemmelse med reglerne, er det naturligvis relevant at forholde sig til hvis skyld det er. De mulige personaleretlige konsekvenser er genstanden for denne artikel.

Læs mere ...
Medarbejdernes vidensniveau

Medarbejdernes vidensniveau

Persondataforordningen præciserer ikke, hvor meget viden de medarbejdere, som behandler personoplysninger på organisationens vegne, skal have. Omvendt følger det mere eller mindre direkte af forordningen at et vist vidensniveau må være til stede. I denne artikel kigger vi på, hvilken viden der skal tilvejebringes, og hvordan man kan tilvejebringe viden til medarbejderne.

Læs mere ...
GDPR: Brug pseudonymisering og anonymisering til at skabe GDPR-compliance

GDPR: Brug pseudonymisering og anonymisering til at skabe GDPR-compliance

Pseudonymisering og anonymisering er vigtige teknikker til at forbedre sikkerheden for de registrerede. Der har siden tidernes morgen være fokus på anonymisering, hvorimod pseudonymisering er et nyere begreb. I denne artikel vil vi se lidt på, hvordan pseudonymisering og anonymisering kan spille en rolle i forhold til at skabe GDPR-compliance og beskytte de registreredes rettigheder.

Læs mere ...
GDPR: Hvad er passende sikkerhedsforanstaltninger egentlig?

GDPR: Hvad er passende sikkerhedsforanstaltninger egentlig?

På baggrund af en risikovurdering set fra de registreredes side, skal de dataansvarlige i henhold til persondataforordningen iværksætte passende tekniske og organisatoriske sikkerhedsforanstaltninger. I denne artikel vil vi berøre, hvad passende sikkerhedsforanstaltninger egentlig er.

Læs mere ...
GDPR: Hvordan etablerer man interne kontroller, så man kan dokumentere compliance?

GDPR: Hvordan etablerer man interne kontroller, så man kan dokumentere compliance?

En af de store udfordringer med de persondataretlige regler er, at de kræver stærke kompetencer indenfor jura, teknik, projektstyring og ledelse. Den, som bliver ansvarlig for GDPR-projektet, kan derfor let risikere ikke at komme hele vejen rundt om persondataforordningen, hvis der ikke etableres en stærk fælles forståelse i organisationen af, hvad der kræves af de enkelte forretningsenheder for at komme i compliance. I denne artikel vil vi fokusere på, hvordan man etablerer et sæt interne kontroller, som gør at man kan dokumentere compliance.

Læs mere ...
GDPR: Hvordan kontrollerer man sine databehandlere?

GDPR: Hvordan kontrollerer man sine databehandlere?

Når forordningen skal efterleves, er det helt centralt, at organisationen formår at stille de rette krav til sine samarbejdspartnere – særligt databehandlerne. Men det er ikke gjort med krav. Der er en forventning om, at der følges op på kravene med kontroller, således at det sikres, at kravene faktisk føres ud i livet. Derfor skal den dataansvarlige gennemføre kontroller af sine databehandlere, hvilket er genstanden for denne artikel.

Læs mere ...
GDPR: Hvad er DPO’ens arbejdsopgaver?

GDPR: Hvad er DPO’ens arbejdsopgaver?

Persondataforordningen gør det for en række organisationer obligatorisk at udpege en data protection officer (DPO). Man kan sige, at tanken er, at der skal være en uafhængig person i organisationen, der kan stille alle de spørgsmål og komme med de gode råd, som Datatilsynet ville komme med, hvis de kunne adressere alle organisationer. I denne artikel vil vi se lidt på, hvad DPO’ens arbejdsopgaver er.

Læs mere ...
GDPR: Sådan identificerer man alle sine systemer og leverandører

GDPR: Sådan identificerer man alle sine systemer og leverandører

Det er vanskeligt at skabe sig et overblik over, hvilke systemer en organisation egentlig bruger. Når man begynder at kortlægge, er det ofte som at åbne Pandoras æske, fordi det viser sig, at der bruges langt flere systemer, end man umiddelbart tror. I denne artikel vil vi berøre, hvordan man kan identificere sine systemer. 

Læs mere ...
GDPR: System- versus proceskortlægning

GDPR: System- versus proceskortlægning

GDPR stiller en række krav til den dataansvarliges dokumentation af behandling af personoplysninger. Det er helt centralt, at man er i stand til at præsentere en fyldestgørende kortlægning, hvis Datatilsynet skulle komme på besøg. Vi må også forvente, at organisationens samarbejdspartnere i stigende grad vil stille krav til kortlægningen, og lade den indgå i beslutningsgrundlaget i forhold til hvilken tillid de kan have til organisationen. I denne artikel vil vi drøfte, hvad der skal kortlægges og på hvilket niveau, kortlægningen skal finde sted.

Læs mere ...
ISO27701: Sammenhæng mellem sikkerhed og persondatabeskyttelse

ISO27701: Sammenhæng mellem sikkerhed og persondatabeskyttelse

Mange eksperter har i en årrække anvist de positive synergier mellem at arbejde med informationssikkerhed og persondatabeskyttelse. Man kan slå to fluer med et smæk ved at få de to faglige områder til at understøtte hinanden. Nu er der så omsider kommet en formaliseret udlægning af samspillet i form af ISO27701, som altså er kanoniseret i en standard. I denne artikel vil den nye ISO27701:2019 blive gennemgået.

Læs mere ...
GDPR: Aftaler med leverandører ved behandling af personoplysninger

GDPR: Aftaler med leverandører ved behandling af personoplysninger

De fleste dataansvarlige bruger en række leverandører til at behandle personoplysninger for sig. Når det sker, er det centralt at der er indgået aftaler mellem parterne, som sikrer, at behandlingen foregår på en lovlig måde. I denne artikel vil vi se på den del af aftalegrundlaget, som forordningen stiller krav til.

Læs mere ...
GDPR: Den dataansvarliges pligter

GDPR: Den dataansvarliges pligter

Det er den dataansvarlige, som skal sikre, at de behandlinger af personoplysninger, der foretages, er i overensstemmelse med de persondataretslige regler. Det er et omfattende krav, og det betyder, at den dataansvarlige skal sørge for at skabe compliance med alle dele af forordningen. I denne artikel vil disse krav blive gennemgået overordnet.

Læs mere ...
GDPR: Den dataansvarlige har pligt til at sikre de registreredes rettigheder

GDPR: Den dataansvarlige har pligt til at sikre de registreredes rettigheder

Når en organisation behandler personoplysninger, har de registrerede, som oplysningerne vedrører, en række rettigheder. Det er den dataansvarlige organisations forpligtelse at sørge for, at de registrerede kan udleve deres rettigheder. I denne artikel ser vi på, hvilke rettigheder de registrerede har, når en organisation behandler deres personoplysninger.

Læs mere ...
GDPR: Hvorfor er privacy vigtigt?

GDPR: Hvorfor er privacy vigtigt?

Beskyttelse af privatlivets fred er i stigende grad en vigtig værdi at have i et moderne samfund. Det er i både individernes og samfundets interesse at beskytte privatlivets fred, og alle er nødt til at bidrage til dette.

Læs mere ...
GDPR: Hvordan laver man en risikovurdering?

GDPR: Hvordan laver man en risikovurdering?

Med persondataforordningen er der introduceret et krav om, at den dataansvarlige skal lave en risikovurdering og på den baggrund vælge hvilke sikkerhedsforanstaltninger, som skal implementeres. I denne artikel vil vi se på persondataforordningens krav til risikovurdering og give praktiske råd til, hvordan man laver sådan en.

Læs mere ...
GDPR: Den første bøde fra Datatilsynet

GDPR: Den første bøde fra Datatilsynet

Den første indstilling til bøde fra Datatilsynet omhandler brug af oplysninger uden formål, manglende sletning og mere generelt utilstrækkelig dokumentation. Bøden gives på baggrund af et tilsynsbesøg som datatilsynet var på hos et dansk taxaselskab.

Læs mere ...
Dette spørger Datatilsynet om på tilsyn

Dette spørger Datatilsynet om på tilsyn

Datatilsynet har gennemgået de første tilsyn hos private og offentlige aktører efter persondataforordningen trådte i kraft. Datatilsynet har været så venlige at offentliggøre deres spørgeskemaer, så vi kan få et indblik i, hvad der spørges til, og ikke mindst hvor grundigt Datatilsynet går til værks.

Læs mere ...
11 vigtigste GDPR definitioner

11 vigtigste GDPR definitioner

I persondataforordningens artikel 4 er der defineret 26 ord. Nogle af disse ord er så yderligere uddybet i forskellige vejledninger. F.eks. har Datatilsynet skrevet en vejledning om ordene dataansvarlig og databehandler og de europæiske datatilsyn har sammen skrevet en vejledning om ordet samtykke.

Læs mere ...