Hvad er personoplysninger?
Enhver information, der direkte eller indirekte kan henføres til en levende person: navn, e-mail, IP-adresse, kundenummer, lokationsdata, billeder. Særlige kategorier — helbred, fagforening, religion, biometri m.fl. — nyder skærpet beskyttelse. De fleste virksomheder behandler langt flere persondata, end de tror: medarbejderdata, kundedata, leverandørkontakter, webstatistik, kameraovervågning.
De seks grundprincipper
Al behandling skal hvile på GDPR’s principper: lovlighed, rimelighed og gennemsigtighed; formålsbegrænsning (data indsamlet til ét formål må ikke frit genbruges til andre); dataminimering; rigtighed; opbevaringsbegrænsning (slet, når formålet er opfyldt); samt integritet og fortrolighed — altså passende sikkerhed.
Oven på det hele ligger ansvarlighedsprincippet: I skal kunne dokumentere, at I overholder reglerne. Compliance, der ikke er skrevet ned, findes ikke i Datatilsynets øjne.
Jeres vigtigste pligter i praksis
Hverdags-GDPR for en dansk SMV eller kommune handler om: et behandlingsgrundlag for hver aktivitet (samtykke er kun ét af seks), en ajourført artikel 30-fortegnelse over behandlingsaktiviteter, databehandleraftaler med alle leverandører, håndtering af de registreredes rettigheder inden for én måned, anmeldelse af brud på persondatasikkerheden til Datatilsynet inden 72 timer — og passende tekniske og organisatoriske sikkerhedsforanstaltninger efter artikel 32.
Netop artikel 32 er der, hvor GDPR og cybersikkerhed mødes: kryptering, adgangsstyring, backup, logning og evnen til at genoprette efter en hændelse er ikke “nice to have” — det er lovkrav, skaleret efter jeres risiko.