GDPR-testen: hvor ligger du/din organisation?

GDPR-testen:
– hvor ligger du/din organisation?

Hvis GDPR i jeres organisation var en have, hvordan ville den så se ud? Tag testen – der er kun 10 spørgsmål – og så får du en fornemmelse af, om du og din organisation er kort eller langt med implementeringen af GDPR.

Tekst / Thorleif Gotved, GotveDPR
Foto / Markus Spiske
Udgivet / December 2018

  Hvis persondata i jeres systemer skulle sammenlignes med en have: 

A.    Ville græsset ikke være slået, haven ville flyde med ting, som burde være smidt ud for længst, der vil intet overblik være, da hæk, busk og træer er gået amok og har gjort haven ugennemskuelig og tilgroet.
B.    Du har sådan nogenlunde godt styr på at få klippet hæk og slået græsset. Men det er bestemt ikke en have, som vinder Haveselskabets pris som årets flotteste have, da skvalderkål, mælkebøtter og måske juletræet fra sidste år sætter sit præg.
C.    Der er totalt styr på haven. Ikke et græsstrå står forkert, hækken er snorlige, og i takt med at efterårsæblerne falder ned fra træerne, fjerner du dem med det samme.

   Har du identificeret og styr på, hvilke persondata du bruger i det daglige kommunikationsarbejde (for eksempel mailadresser, billeder, ip-adresser og så videre)?

A.    Øh…næ….vores persondata ligger hulter til bulter, uden vi har noget overblik.
B.    Jo, vi har da kigget lidt på det og fået skrevet noget ned.
C.    Jep, der er total orden i penalhuset. Vi har overblik over, hvilke persondata vi behandler, samt om det er almindelige, følsomme, straffeoplysninger eller fortrolige personoplysninger.

   Har du styr på, hvor jeres personoplysninger hostes henne rent geografisk? 

A.    Næ – er det da vigtigt?
B.    Vi har kigget på nogle af de systemer, vi har, men ikke alle.
C.    Ja, vi har helt styr på, om vores persondata for eksempel hostes i EU eller usikre tredjelande som USA.

  Har du udarbejdet en eller flere såkaldte fortegnelser over behandlingsaktiviteter (artikel 30), der vedrører jeres kommunikationsarbejde?

A.    Fisk – aner ikke hvad du mener.
B.    Ja, vi er begyndt, men har ikke fået lavet fortegnelserne helt færdige.
C.    Ja, de ligger klar, hvis Datatilsynet skulle komme forbi, da det er et lovkrav jf. forordningens artikel 30.

  Har du lavet en persondata-/privatlivspolitik?

A.    Nej – bare fordi vi sender et nyhedsbrev ud, skal vi vel ikke have en privatlivspolitik. Vel?
B.    Vi er begyndt at lave den, men praktikanten, som havde opgaven, er stoppet. Vi afventer en ny praktikant, for vi ved jo godt, at den skal laves.
C.    Ja, for at kunne overholde forordningens krav om oplysningspligt har vi udarbejdet en politik, som vi linker til, når vi registrerer persondata.

  Har du styr på samtykke?

A.    Den slags papirnusseri orker vi ikke – hvis nogen er utilfreds over måden, vi behandler persondata på, så kan de jo bare ringe.
B.    Vi har styr på samtykke til nyhedsbreve, men ikke når vi offentliggør portrætfotos af for eksempel ansatte.
C.    Vi har nøje gennemgået, hvornår vi har en juridisk, gyldig grund til at behandle persondata – kun når samtykke kan være den eneste gyldige grund, sikrer vi os at indhente det.

  I din mailboks modtager du fra tid til anden mails med følsomme oplysninger. Sådanne mails

A.    …sørger du for straks at sende videre til en vilkårlig kollega, da du så har sikret dig en kopi af mailen i ”Sendt post”. For det er altid dejligt med en kopi.
B.    …sletter du…hvis du lige husker det.
C.    …sletter du altid med det samme – eller hvis det er nødvendigt, arkiverer den i for eksempel et ESDH-system – og du kan garantere, at der ikke ligger en eneste mail med følsomme oplysninger i din indboks. Som for eksempel den om at konsulent-Knud har meldt afbud til et møde, fordi han er blevet akutindlagt til en hofteoperation.

  Hvad har du gjort af tanker vedrørende jeres facebookside?

A.    Ingenting – bare fordi vi har en facebookside, så udleverer vi ikke persondata til Facebook, så der burde ikke være noget problem.
B.    Vi har skrevet ind i vores privatlivspolitik, at vi har en facebookside.
C.    Vi er opmærksomme på EU domstolens afgørelse fra 5. juni 2018, som betyder, at vi er fælles dataansvarlige med Facebook, selvom vi kun har en facebookside. Vi har gjort opmærksom på dommen i vores privatlivspolitik, samt på at vi afventer, hvordan Facebook vil agere.

  Når jeg har med billeder at gøre, så gør jeg følgende:

A.    Offentliggør dem – det er jo ligesom pointen med dem.
B.    Vurderer, hvilken type billeder der er tale om. Harmløse situationsbilleder kan som udgangspunkt offentliggøres uden samtykke. Er der tale om et portrætfoto, så indhentes samtykke, og det samme hvis det er situationsbilleder, for eksempel af ansatte, samt billeder, hvor den afbildede kan risikere at føle sig krænket, udstillet eller udnyttet.
C.    Beder altid om samtykke uanset hvad – bare for en sikkerheds skyld.

  Hvis persondata i din organisation skulle blive kompromitteret, så gør du følgende:

A.    Ingenting. Det går nok over.
B.    Giver Datatilsynet besked. Eventuelt via et fysisk brev, så du har tid til at få ryddet så meget op som muligt, inden de eventuelt kommer forbi.
C.    Du kigger i den beredskabsplan, som i forvejen er udarbejdet, og danner dig et overblik over, hvorvidt Datatilsynet – og eventuelt de registrerede – skal orienteres, og hvis de skal, at det sker indenfor tidsfristen. Derudover noterer du hændelsen i din sikkerhedslog.

Hvor mange point fik du?

Tæl dine point sammen
A = 0 point
B = 5 point
C = 10 point

Resultat

00 point
Du bedes forholde dig i ro og tilkalde GDPR-hjælp fra dit netværk hurtigst muligt. Hvis du er en enkeltmandsvirksomhed med meget lidt persondata, så er det ikke verdens undergang, men formelt set er du milevidt fra at overholde databeskyttelsesforordningen.

05-30 point
Det positive er, at du da i det mindste har fat i noget. Og det er da en start – trods alt. Men det anbefales, at du orienterer dig på datatilsynet.dk og lægger en plan for at komme videre i processen.

30-70 point
Du er nok der, hvor (overraskende) mange organisationer er. Du har kendskab til databeskyttelsesforordningen, ved at den skal overholdes og er sandsynligvis i proces. Et godt råd – sæt nogle deadlines for at sikre fremdrift, så du kommer bare nogenlunde i mål.

75-95 point
Sådan. Du har ret godt tjek på det. Der er muligvis plads til forbedring, men i det store hele har du arbejdet seriøst med opgaven.

100 point
Really? Du har muligvis ikke svaret helt korrekt. Og hvis du har, så har du nok, muligvis styret af frygt, gjort alt for meget ud af GDPR-arbejdet. Bevares – hvis din organisation håndterer tonsvis af følsomme og fortrolige oplysninger, så er der al mulig grund til at gøre sig ekstra umage. Men det kan ikke anbefales at indhente samtykke bare for en sikkerheds skyld (spørgsmål 9). Blandt andet fordi det kan være bøvlet at administrere – og så får du i øvrigt endnu flere persondata, du skal håndtere.
Der er altid en risiko for, at man ikke overholder GDPR – men der er også en risiko for at gå i selvsving på den ufede måde.

Hvis du vil vide mere,
kan du gå ind på datatilsynet.dk og læse om GDPR

Tekst / Thorleif Rytz Gotved fra GotveDPR underviser, rådgiver og holder workshop vedr. GDPR
Foto / Markus Spiske
Udgivet / December 2018

Kommagasinet er udgivet af Kommunikation og Sprog - fagforeningen for dig, der elsker kommunikation, sprog og marketing.

Også værd at læse

Back To Top
Search