Privacy & Data Compliance

Få hjælp til at beskytte jeres kunders privatliv og overholde EU´s persondataforordning.

Hvilke krav stiller persondataforordningen til jeres virksomhed?

Som virksomhed er I forpligtet til at beskytte jeres kunders ret til privatliv. EU-persondataforordningen (GDPR) stiller krav til at indarbejde privatlivsbeskyttelse i virksomhedens arbejdsgange og processer, bl.a. med de nye krav om Privacy by Design.

Samtidig er det afgørende, at kunder, forbrugere og myndigheder kan have tillid til den måde, virksomheden håndterer deres data på i alle de interaktioner, som de har med virksomheden. Det stiller øgede krav til, at virksomheden skal integrere privatlivsbeskyttelse og data compliance i relevante arbejdsgange og processer. Det gælder fx. når virksomheden designer applikationer, hvori der indgår som personoplysninger, hvor det er afgørende, at disse data beskyttes i hele applikationens levetid.

Hvad skal du være opmærksom på?

Forordningen sætter den registreredes rettigheder i højsædet, hvilket medfører krav til din virksomheds persondatasikkerhed:

  • Krav til egenkontrol og dokumentation ift. efterlevelse af forordningens regler.
  • Krav om, at databeskyttelse som standard er indarbejdet i produkter og services. Det stiller potentielt krav til, at udviklingsprocesser og projektmodeller i virksomheden revurderes.
  • Krav om underretningspligt - både til Datatilsynet og til den registrerede, herunder intern proces for håndtering af sikkerhedsbrud.
  • Krav om Data Protection Officer (DPO), som skal sikre en større kontrol med din virksomheds behandling og beskyttelse af persondata (afhængig af virksomhedens behandlingsaktiviteter).
  • Krav til fx sletning af persondata, samtykke og dataportabilitet.

Krav til jer som dataansvarlig eller databehandler

EU Persondataforordningen medfører krav både for dataansvarlig og databehandler. PwC kan hjælpe med at skabe overblik over konsekvenserne for din virksomhed, og sammen med dig sikrer vi, at din virksomhed efterlever de krav til håndtering af persondata, som forordningen stiller.

Dataansvarlig

  • Ansvarlig for, at persondata behandles i overensstemmelse med Persondataforordningen samt dokumentation herfor.
  • Krav om governancestruktur – med krav til øget løbende egenkontrol og dokumentation.
  • Privacy by Design og Privacy by Default. Personsikkerheden skal tænkes ind i de tekniske løsninger, der anvendes til at behandle personlige oplysninger gennem hele livscyklussen.

Databehandler

  • Skal stille de fornødne garantier, der sikrer, at kravene i Persondataforordningen opfyldes.
  • Forpligtet til at hjælpe den dataansvarlige med efterlevelse af sine forpligtelser.
  • Skal gøre den dataansvarlige opmærksom, hvis forordningen ikke overholdes.

Sådan kan vi hjælpe

Kom godt i gang – plan for GDPR compliance

GAP-analyse/modenhedsvurdering

  • Vurdering af virksomhedens nuværende behandling af persondata.
  • Udarbejdelse af handlingsplaner for at styrke governance, processer, organisation og teknologi.

Risikobaseret tilgang

  • Sammenhæng til strategiske målsætninger vurderes.
  • Risikobaseret tilgang til udvælgelse af de data- og procesflows, der skal fokuseres på i projektet.
  • Workshops med relevante forretningsenheder.

Mobilisering

  • Rammesætning for projekt.
  • Træning af projektmedarbejdere i værktøjer og skabeloner.

Design og implementer det nødvendige

Styringstiltag og indledende analyse

  • Projekt- og aktivitetsplan, der sikrer effektiv implementering eller tilpasning af procedurer og relevante kontroller ifm. EU Persondataforordningen.
  • Gennemgang af leverandøraftaler for at sikre, at aftalerne dækker behandling af persondata, samt at virksomhedens leverandører overholder kravene i forordningen.

Holdningsbearbejdning, uddannelse og træning af medarbejdere

  • Forankringsplan samt understøttende aktiviteter, der sikrer, at virksomhedens medarbejdere trænes i at efterleve EU Persondataforordningen.
  • Udarbejde og gennemføre awareness og e-learning aktiviteter for medarbejderne om forordningen og de gældende krav til håndtering af persondata i organisationen.

Design og implementering af processer

  • Udarbejdelse af fx persondatapolitik, og modeller for databehandling, konsekvensanalyse (PIA) samt integration til eksisterende processer.
  • Etablerede kontroller dokumenteres i et årshjul, således at efterlevelse af forordningens krav kan efterprøves.

Sikkerhedsvurdering og -implementering

  • Fortolkning af kravene i forordningen ift. sikkerhedsforanstaltninger fx. adgangsstyring, kryptering, logning, mv.

Teknologivurdering og -implementering

  • Kategorisering af systemlandskab og udarbejdelse af konkrete planer for compliance og evt. opdatering, tilpasning eller udskiftning af systemer.
  • Vurdering af Privacy by Design.

Løbende compliance

Opfølgning

  • Plan for løbende opfølgning både internt og over for eksterne samarbejdspartnere.
  • Periodisk ekstern opfølgning samt input til effektivisering af det løbende arbejde med overholdelse af forordningen.

Erklæring

  • ISAE 3000-erklæring fra en uafhængig revisor vedrørende databeskyttelse og behandling af personoplysninger.

Få overblik over din virksomheds persondata med GDPR Scanner

Har du overblik over almindelige, fortrolige og følsomme persondata på tværs af dokumenter, e-mails og systemer i din virksomhed? Og ved du, om I håndterer disse korrekt?

Med GDPR Scanner får du et digitalt værktøj, der giver dig dokumenteret overblik over, hvor du har persondata.

Læs mere

Kontakt os

Mads Nørgaard Madsen

Partner, Security & Technology, PwC Denmark

Tlf: +45 2811 1592

Jørgen Sørensen

Partner, Security & Technology, PwC Denmark

Tlf: 3945 3554

Følg PwC