Hvad er GDPR-compliance?

GDPR-compliance betyder, at jeres organisation behandler persondata lovligt, sikkert og dokumenterbart – hver dag. Det handler ikke kun om politikker, men om at kunne vise, at I gør det rigtige i praksis. 

Kernen i GDPR-compliance

• Lovligt grundlag: Hver behandling har en klar hjemmel (fx kontrakt, legitim interesse, retlig forpligtelse). 

• Gennemsigtighed: I informerer tydeligt om, hvad I indsamler, hvorfor og hvor længe. 

• Dataminimering & sletning: I indsamler kun det nødvendige – og sletter efter plan. 

• Sikkerhed: Tekniske og organisatoriske foranstaltninger beskytter data. 

• Rettigheder: I kan håndtere indsigt, rettelse, indsigelse m.m. inden for fristerne. 

• Ansvarlighed (beviset): I kan dokumentere beslutninger, processer og handlinger. 

Hvad tæller som “bevis”?

• ROPA/datakort: Overblik over behandlinger pr. afdeling. 

• Aftaler & skabeloner: DPA’er, samtykketekster, LIA/DPIA/TIA-notater. 

• Logs & spor: DSAR-log, brudjournal, sletteprotokoller, adgangslog. 

• Træning: Deltagelse, gennemførselsrapporter og indhold. 

ROPA – Record of Processing Activities
= Fortegnelse over behandlingsaktiviteter. 

• Hvad: Et katalog over alle behandlinger af persondata i virksomheden. 

• Hvorfor: Viser overblik og efterlevelse (accountability). 

• Indeholder typisk: formål, datakategorier, registrerede, systemer/leverandører, hjemmel, opbevaringsperiode, sikkerhedsforanstaltninger. 

• Eksempel: “Rekruttering i HR – CV’er opbevares 6 mdr., hjemmel: legitim interesse.” 

DPA – Data Processing Agreement
= Databehandleraftale. 

• Hvad: Kontrakt mellem den dataansvarlige (jer) og en leverandør, der behandler data på jeres vegne. 

• Hvorfor: Sikrer klare krav til sikkerhed, underdatabehandlere, sletning, tilsyn osv. 

• Eksempel: Aftale med jeres lønsystem eller e-mail-marketingplatform. 

LIA – Legitimate Interest Assessment
= Interesseafvejning (ved brug af “legitim interesse” som hjemmel). 

• Hvad: Et kort beslutningsnotat, hvor I vurderer formål, nødvendighed og påvirkning for de registrerede – og hvilke risikominimeringer I bruger. 

• Hvorfor: Bevis for, at “legitim interesse” er valgt korrekt. 

• Eksempel: Brug af medarbejderfotos på intranet til intern kultur/identifikation. 

DPIA – Data Protection Impact Assessment
= Konsekvensanalyse af databeskyttelse. 

• Hvad: En dybere risikovurdering ved høj risiko (fx systematisk overvågning, følsomme data i stor skala). 

• Hvorfor: Identificerer risici og fastlægger afbødende tiltag, evt. med inddragelse af DPO/IT/Jura. 

• Eksempel: Indførelse af nyt HR-analytics-system med omfattende medarbejderdata. 

TIA – Transfer Impact Assessment
= Vurdering af tredjelands­overførsel. 

• Hvad: Analyse af, om persondata kan overføres lovligt til lande uden for EØS (fx via cloudleverandør), og om supplerende foranstaltninger er nødvendige. 

• Hvorfor: Kræves ifm. internationale overførsler (ofte sammen med SCC’er). 

• Eksempel: Brug af amerikansk SaaS – vurdering af lovgivning, adgangsrisici og kryptering. 

DSAR – Data Subject Access Request
= Anmodning fra registrerede (indsigt m.m.). 

• Hvad: Håndtering af personers rettigheder: indsigt, berigtigelse, sletning, indsigelse, dataportabilitet osv. 

• Hvorfor: GDPR stiller krav til frister (typisk 30 dage), identitetskontrol og svarformat. 

• Eksempel: En kunde beder om kopi af alle oplysninger – I har et standardflow og en log. 

 

Hvad GDPR-compliance ikke er

• Ikke “samtykke til alt” – vælg den rigtige hjemmel. 

• Ikke kun et IT-projekt – HR, Marketing, Sales og Support er med. 

• Ikke en engangsøvelse – det er løbende governance. 

 

Gør det nemt at komme i gang

Grapes GDPR Compliance online kursus giver hele organisationen styr på det vigtigste på ca. 30 min. (dansk/engelsk)