Er jeres medarbejdere GDPR-compliant i praksis?

Skrevet af Anders Schultz-Møller

GDPR COMPLIANCE

Compliance handler ikke kun om jura. Det handler om vaner, processer og adfærd i hele organisationen – fra HR og IT til salg og reception. 

Vi har samlet 12 konkrete spørgsmål, som hjælper jer med at finde ud af:
– Hvor står I stærkt?
– Hvor er der risiko for brud? 

12 SPØRGSMÅL TIL GDPR-COMPLIANCE I PRAKSIS

1. Fejlsendt e-mail – hvad så?

Ved medarbejdere, hvad de skal gøre, hvis de kommer til at sende en e-mail med personoplysninger til den forkerte? 

Eksempel: En HR-medarbejder sender en ansættelseskontrakt til den forkerte modtager.
→ Er der en kendt reaktion og eskalering? 

2. Mistet laptop eller mobil – hvad er proceduren?

Er der en tydelig proces for mistede enheder – og kender medarbejderne den? 

Eksempel: IT får besked, incident registreres, data vurderes – men kun hvis den ansatte ved, hvad der skal ske. 

3. Formularer og dataminimering – samler I kun det nødvendige?

Er det dokumenteret, hvorfor I indsamler de data, I beder om? 

Eksempel: Et gammelt tilmeldingsskema indeholder felt til “forældres CPR-nummer” – men ingen har overvejet hvorfor.
→ Hvordan sikrer I dataminimering over tid? 

4. Genbrug af data – uden nyt samtykke?

Tjekker I, om det er lovligt at bruge data til et nyt formål – og informerer I brugeren? 

Eksempel: Må en kundes e-mail bruges til både køb og nyhedsbrev? 

5. Samtykke – er det dokumenteret?

Har I dokumenteret, hvilket retsgrundlag I bruger – og hvordan det er indhentet? 

Eksempel: Et flueben i en formular er ikke nok, hvis der ikke er tydelig tekst og dokumentation. 

6. Forklaring – kan I begrunde databrug?

Kan medarbejderne forklare, hvorfor bestemte oplysninger indsamles – og henvise til politikker? 

Eksempel: En receptionist beder om ID – men hvorfor? Hvor står det? 

7. Hvem ejer og opdaterer data?

Ved medarbejderne, hvem der er ansvarlig for korrekte og opdaterede data? 

Eksempel: Hvem opdaterer kontaktoplysninger eller samtykkestatus? 

8. Sletter I data, når I skal?

Er der rutiner for sletning – og dokumentation? 

Eksempel: Slettes kandidater fra rekrutteringssystemet efter 6 måneder? 

9. Sikker deling – og godkendte værktøjer?

Bruger alle godkendte systemer – og deler data sikkert? 

Eksempel: Dropbox privat vs. virksomhedens SharePoint – kender medarbejderne forskellen? 

10. Kender I jeres rolle ved anmodninger?

Kan medarbejdere håndtere eller videresende anmodninger korrekt? 

Eksempel: En kunde beder om indsigt – må support svare? 

11. Ved I, hvad 72-timersfristen betyder?

Er medarbejdere klædt på til at handle hurtigt ved brud? 

Eksempel: Et USB-stik forsvinder – hvad gør man? Hvornår starter nedtællingen? 

12. AI og datadeling – må man dele med ChatGPT?

Har I en AI-politik – og forstår medarbejderne den? 

Eksempel: En medarbejder uploader en kunderapport til ChatGPT for at få skrevet et resume.
→ Ved I, hvad der må deles med AI-tjenester? 

 

Når GDPR-compliance træning skal blive til adfærd 

I mange organisationer er GDPR-træning noget, man “har gjort”. Men ikke nødvendigvis noget, der har ændret adfærd. 

Flere virksomheder vælger derfor realistisk og målrettet awareness-træning, hvor reglerne bliver omsat til hverdagssituationer.  

Hos Bauhaus (se case) blev GDPR og IT-sikkerhed gjort konkret med korte e-learningmoduler baseret på hverdagsdilemmaer. 

Hos EDC (se case) blev awareness en integreret del af complianceprogrammet – med målrettet indhold og dokumentation. 

Grape leverer ikke kun GDPR kursus, men en hel portefølje af compliance-kurser. Alle kurser kan tilpasses jeres organisation – og kombineres med jeres egne politikker og procedurer.