Sådan beviser du, at GDPR er overholdt

Kan din organisation leve op til databeskyttelsesforordningen? Ét er at leve op til kravene. Noget andet er at kunne bevise over for tilsynsmyndighederne, at din organisation overholder alle reglerne for databeskyttelse. Hvis det værst tænkelige sker, og din organisation oplever et brud på datasikkerheden, vil det at kunne bevise, at din organisation overholder GDPR-reglerne kunne betyde, at din organisation undgår enorme sanktioner.

At kunne leve op til GDPR er hurtigt ved et blive et presserende problem. Organisationer, der behandler EU-borgeres persondata – uanset om de organisationer er placeret i EU – bliver nødt til at overholde GDPR og kunne bevise, at de gør det.

Artikel 5 i GDPR stadfæster behovet for at bevise at man lever op til kravene i selve forordningen: ”Den dataansvarlige er ansvarlig for og skal kunne påvise, at GDPR er overholdt”.

De enorme bøder, der er fastsat i GDPR-forordningen, vil blive pålagt de organisationer, der oplever brud på datasikkerheden på grund af manglende overholdelse af kravene i GDPR. Det betyder, at en organisation, der oplever et sikkerhedsbrud, men som kan påvise, at den overholder GDPR vil kunne undgå at miste to procent af organisationens globale årlige omsætning.

Det er derfor vigtigt at gemme al relevant dokumentation for de tiltag, som en organisation har indført for at efterleve GDPR-kravene. Det er også vigtigt at have al denne dokumentation gemt i det samme (eller et lignende) format for at sikre nem adgang og læsbarhed. Det er også nødvendigt, at organisationer har en oversigt over al den behandling af persondata, der foregår, og over datakilder. Hvis en organisation er forpligtet til at udpege en databeskyttelsesansvarlig (DPO) eller har planer om udpege en, bør dette være en af ​vedkommendes vigtigste opgaver. At sikre klar dokumentation for at GDPR-forordningen er overholdt er nemlig et stærkt værn mod sanktioner. At fungere som mellemled mellem organisationen og tilsynsmyndighederne bør også være en del af jobbeskrivelsen og arbejdsbyrden for den databeskyttelsesansvarlige.

En af de vigtigste ting, man skal have med i overvejelserne er, at GDPR kræver databeskyttelse 'gennem design og gennem standardindstillinger' (artikel 25). Databeskyttelse gennem design opmuntrer til (og kræver), at man overholder GDPR i alle led og helt fra begyndelsen, hvilket tager fat om problemernes rod og gør, at data er beskyttet helt fra begyndelsen, så man ikke senere behøver at indføre beskyttelsen for at leve op til kravene.

Det er også vigtigt at huske, at det i GDPR-forordningen kræves, at kun relevante oplysninger lagres, så organisationerne skal være i stand til at retfærdiggøre de typer af data, som de opbevarer, og hvorfor det er relevant for driften af ​​organisationen.

Beskyttelse gennem standardindstillinger betyder, at strenge databeskyttelses- og informationssikkerhedsforanstaltninger er på plads som standard fra dag ét, når en tjeneste eller et produkt udbydes. Dermed kræves der ikke yderligere sikkerhedsforanstaltninger og handlinger senere for at leve op til kravene.

GDPR stadfæster centrale rettigheder for de registrerede, og organisationer, der overholder reglerne, bliver nødt til at bevise, at de kan imødekomme en anmodning fra en registreret, hvis vedkommende vælger at udøve en af ​​disse rettigheder. 'Retten til nem adgang' vil betyde, at de registrerede nemt kan få adgang til hvilken som helst af ​​deres data, der er lagret af en organisation, mens 'Retten til at blive glemt' vil betyde, at de registrerede kan anmode om, at deres data skal slettes (med rimelig grund). Det at bevise, at en organisation hurtigt kan komme til, give adgang til og slette personoplysninger, hvis der kommer en anmodning om det, vil også være en udfordring for organisationer.

Resultatet er altså, at fra dette øjeblik sætter GDPR temmelig generaliserede mål og krav til organisationer. Ifølge Sans Institute har tilsynsmyndighederne selv uden for citat udtrykt bekymring over den inkonsekvente gennemførelse af reglerne på grund af, at detaljerne endnu ikke er helt på plads. Det betyder, at den bedste måde at bevise, at man overholder GDPR, er at have en bredspektret og grundig tilgang til behandlingen af data. Beviserne for, at man overholder GDPR, bør være altomfattende, og enhver beslutning foretaget på baggrund af spørgsmål eller tvivl bør man søge råd om hos de lokale myndigheder i medlemslandet.

Vil du vide mere om GDPR, så klik her for gratis rådgivning.

Scroll to top