Ukorrekt opbevaring af data har store konsekvenser

Indførelsen af GDPR i maj 2018 er gået de færreste forbi, men konsekvenser for ukorrekt opbevaring af data er for mange stadig uklar. Men selvom GDPR har været en udfordring at forstå, er konsekvenserne ved ikke at overholde GDPR alvorlig: Fejler en virksomhed i at håndtere data korrekt, bliver de tildelt bøder på min. 4 % af den årlige omsætning eller op til 20 millioner euro. Oveni risikerer virksomheder også at miste deres kunders tillid.

Mange virksomheder arbejder hver dag med håndtering af personfølsomme data og er afhængige af den, for at kunne drive forretning. Hos datagiganten Bisnode, som hver dag arbejder med datahåndtering, kan du læse hvordan du sikrer dig, at din virksomheds opbevaring af data lever op til GDPR.

GDPR står for General Data Protection Regulation og sikre alle individers ret til at blive gdpr-opbevaring-af-dataglemt. Et individ kan eksempelvis være en kunde, en nuværende medarbejder, tidligere ansatte, samarbejdspartner mv. Med GDPR har alle fået fuld ejerskab over deres data og håndteringen af den. Det betyder konkret at en virksomhed ikke må bruge eller gemme persondata, medmindre individet har givet sit samtykke.

Persondata er al data som kan bruges til at identificere en person. Et navn på en person er en identifikation af en person og dermed tydelig persondata. Lignende oplysninger som mailadresse, lokationsdata, betalingsoplysninger mv., er oplysninger der kan være med til at identificere en person og klassificeres derfor også som persondata. Sidst er oplysninger omkring en persons hobbyer, forbrugsadfærd, interesser mv., også persondata, da det kan identificeres tilbage til et individ.

Data som kan betegnes som persondata indbefatter dermed forskellige grader af personfølsomme data, der har det tilfælles, at det kan bruges til at identificere en person.

Korrekt dataindsamling og håndtering ifølge GDPR

Personer skal give et informeret samtykke før en virksomhed, ifølge GDPR, må lagre persondata. Konkret betyder det at korrekt dataindsamling indbefatter at personen frivilligt giver sit samtykke, og er informeret om hvilke sammenhænge, deres data vil blive brugt. Personen skal være bevidst om at deres data bliver indsamlet og derfor er en fravalgsmodel ikke lovlig ifølge GDPR. Personen har altid retten til at trække deres samtykke tilbage på et senere tidspunkt. Hvis det sker, skal virksomheden, ifølge GDPR, slette eller anonymisere dataen.

Ved en anonymisering af data skal alle informationer, som kan spores tilbage til en person, slettes eller ændres i et omfang, så personen bliver uigenkendelig. Opfyldes dette krav ikke og lagrer virksomheden dataen fortsat, er det et brud på GDPR og dermed ulovligt. Virksomheder må gerne gemme persondata efter et samtykke er blevet trukket tilbage, så længe dataen bliver anonymiseret.

Der er ikke en tidsgrænse for hvor længe en virksomhed må opbevare persondata. Men ifølge GDPR må virksomheder kun opbevare dataen, så længe det er nødvendigt for at kunne udføre et job. Når det ikke længere er tilfældet, skal dataen enten slettes eller anonymiseres.

Virksomheder skal ved tidspunktet for dataindsamlingen beskrive formålet med indsamlingen og hvordan virksomheden yder en sikker datalagring. Denne information skal udgives i en persondatapolitik, som skal være tilgængelig for alle. De fleste virksomheder har en underside på deres website hvor persondatapolitikken kan læses. I datapolitikken skal virksomheden detaljeret beskrive deres retningslinjer i henhold til datalagring, hvordan virksomheden identificerer brud på GDPR og deres handlingsplan i de scenarier.

Det er virksomhedens ansvar at leve op til GDPR og varetage en sikker databehandling. Det er også virksomhedens ansvar at have en uddybende persondatapolitik tilgængelig for alle. Hvis virksomheden oplever et brud på deres dataopbevaring, har de 72 timer til at kontakte tilsynsmyndighederne. Virksomheder med samarbejdspartnere uden for EU har ansvar for, at de også overholder GDPR.

Gode råd til korrekt opbevaring af data

Konsekvenserne ved forkert håndtering af data er store, men at følge GDPR behøver ikke at være komplekst. Det bedste råd for at sikre at GDPR bliver overholdt, er løbende at holde øje med procedurene omkring datahåndteringen.

Det første skridt er at kortlægge hvilken data I har, hvordan I planlægger at bruge dataen, hvordan den opbevares og om den deles med andre. Denne kæde af oplysninger gør jeres datahåndtering transparent og synliggøre risici der tidligere, ikke er blevet opdaget.

Hvilket fører til næste skridt i korrekt opbevaring af data. Med den kortlagte proces omkring dataen, kan I udpege svage områder I jeres data håndtering og opbevaring. Det kan være forældet data I ikke længere bruger, IT-systemer der bør udskiftes eller et indblik i om alle medarbejdere har forstået procedurerne omkring GDPR. Et godt råd er at prioritere truslerne og løse de mest akutte først. Det kan eksempelvis være at slette data som I ikke længere gør brug af, eller som I ikke har fået samtykke på at have.

I forbindelse med kortlægningen af jeres datahåndtering kan I sideløbende sikre, at jeres handlingsplaner på databrud er opdateret. I persondatapolitikken skal en virksomhed beskrive deres retningslinjer for håndtering og opbevaring af data, samt handlingsplaner ved et eventuelle databrud. Opdater datapolitikken og nye medarbejdere på hvad handlingsplanerne er, så alle er bevidste om deres ansvar.

Det kan være en fordel at udnævne en DPO – Data Protective Officer. Hos offentlige myndigheder og virksomheder, der håndterer store mængder af data relateret til kriminelle handlinger eller domfældelse er dette et krav. Personen har ansvar for at dataindsamling, håndtering og opbevaring af data foregår korrekt ifølge GDPR. Denne person kan heri også have ansvar for at løbende sikre, at alle nye medarbejdere er indforstået med GDPR.

God dataopbevaring er til fordel for både virksomheder og kunder

Med en sikker databehandling og opbevaring, sikre I både virksomheden, alle medarbejdere, samarbejdspartnere og kunders sikkerhed. En transparent databehandling betyder endvidere at kunder og samarbejdspartnere, vil være mere tilbøjelige til at dele deres data med jer. Data er i dag afgørende for at mange virksomheder kan drive forretning og sikkerheden om data bør derfor prioriteres højt.