Korrekt brug af GDPR – Factsheet til dialog i virksomheden

Brug dette som “opslag” når I diskuterer cases: Hvad er problemet, hvad er risikoen, og hvad er den bedste praksis?

Fokus: praksis, ikke paragraffer Brugbar til cases + fremlæggelse Sprog: kollega-venligt

1) GDPR i én sætning fælles udgangspunkt

GDPR handler om: hvordan virksomheden må indsamle, bruge, dele, opbevare og slette oplysninger om mennesker – især i IT-systemer.
Hvis det kan kobles til en person (direkte eller indirekte), så er det persondata.

2) Hurtig test: Er det persondata? tænk-før-du-deler

  • Ja: navn, mail, telefon, kundeliste, sagsnummer der kan kobles til person
  • Ekstra følsomt: helbred/sygefravær, fagforening, religion, biometriske data, seksualitet
  • Også ja: interne noter om en medarbejder (fx “stresset”, “ofte syg”) – hvis det kan knyttes til en person

Huske-sætning: “Hvis du ikke ville sige det højt i kantinen – skriv det ikke i systemet.”

3) Roller i praksis hvem gør hvad

  • Ledelse: har ansvaret for rammer, beslutninger og ressourcer
  • DPO (hvis der er en): rådgiver, vejleder, hjælper med fortolkning og tilsyn
  • Medarbejdere: omsætter retningslinjer til korrekt hverdag (og opdager fejl først!)
  • Bindeled: sørger for vidensdeling + hjælper med at få praksis til at fungere
Dialog-spørgsmål: “Hvem har ansvaret?” → Ofte ledelsen. “Hvem har opgaven?” → Ofte medarbejderen/bindeleddet.

4) De 6 praktiske “GDPR-regler” (til dialog) brug som tjekliste

Formål: Hvorfor har vi data?
  • Kan vi forklare formålet kort og sagligt?
  • Er formålet relevant for opgaven – eller “nice to have”?
Dataminimering: Har vi mere end nødvendigt?
  • Gem kun det, der er nødvendigt
  • Undgå “bonus-noter” om private forhold
Adgang: Hvem har adgang – og hvorfor?
  • Kun dem med arbejdsbetinget behov
  • Fjern adgang ved jobskifte/fratrædelse
Opbevaring & sletning: Hvor længe?
  • Persondata må ikke gemmes “for evigt”
  • Lav slette-/arkiveringsrutiner og følg dem
Deling: Hvordan deler vi sikkert?
  • Del via godkendte systemer (ikke privat mail/USB)
  • Overvej om alle modtagere har behov
Tilsyn: Hvordan sikrer vi, at praksis følges?
  • Tjeklister, audit, rettighedsgennemgang, logning
  • “Løbende små kontroller” slår én stor panik-kontrol

5) Do / Don’t i virksomheden hurtig opskrift

✅ Do

  • Brug virksomhedens godkendte systemer til deling
  • Spørg: “Hvem skal have adgang – og hvorfor?”
  • Følg fratrædelsesprocedure: luk adgange
  • Opbevar og slet efter faste rutiner
  • Rapportér fejl tidligt (hurtigt = mindre skade)

⛔ Don’t

  • Send persondata til “alle” fordi det er nemt
  • Gem data “for en sikkerheds skyld” uden plan
  • Brug privat mail/USB/private cloud til arbejdsdata
  • Skriv følsomme vurderinger i fritekst-noter uden behov
  • Ignorér hændelser fordi “det gik jo fint”

Tip til dialog: Bed gruppen vælge én “Do” og én “Don’t” der passer til casen – og begrund.

6) Mini-skabelon til konklusion til fremlæggelse

Brug denne struktur, når gruppen skal lande på et svar:

  1. Hvad er data? (persondata/følsomme?)
  2. Hvad er problemet? (formål, adgang, deling, opbevaring, procedure)
  3. Hvad er risikoen? (for personen / for virksomheden)
  4. Bedste praksis: (hvad bør gøres – konkret)
  5. Hvem gør hvad? (ledelse, DPO, medarbejdere/bindeled)
One-liner til slut: “Vi konkluderer, at den korrekte praksis er X, fordi Y, og det sikres med Z.”

7) “Hvad gør vi, hvis…” (hændelser & fejl) særligt vigtigt

  • Mail sendt til forkert modtager: stop deling, informér relevant ansvarlig, dokumentér hændelsen, vurder skade.
  • USB / privat cloud brugt: flyt data til godkendt system, slet lokalt, læring/vejledning til medarbejder.
  • For bred adgang: stram rettigheder, gennemfør rettighedsgennemgang, lav fast rutine.
  • Gamle data fundet: afklar formål og opbevaringsbehov, planlæg sletning/arkivering.
Husk: Det vigtigste i praksis er ikke at være fejlfri – men at opdage, reagere og forbedre hurtigt.

8) Værktøjer til tilsyn konkret

  • Rettighedsgennemgang (hver måned/kvartal)
  • Tjekliste ved onboarding/offboarding
  • Audit af “hvor ligger data?”
  • Logning + stikprøver
  • Kort e-læring/vidensdeling (Teams/intranet)

God prøve-sætning: “Værktøjet sikrer, at…”

9) Ordliste – så alle taler samme sprog ingen jura-suppe

  • Persondata: info der kan kobles til en person
  • Følsomme data: fx helbred, fagforening m.m.
  • Behandlingsaktivitet: alt du gør med data (gemmer, sender, sletter)
  • Adgangsstyring: hvem kan se hvad – og hvorfor
  • Tilsyn: kontrol af at praksis følges
  • Procedure: “sådan gør vi hver gang”

10) 5 dialogspørgsmål til ALLE cases brug altid

  • Hvilke persondata indgår – og er noget følsomt?
  • Hvad er formålet – og er det nødvendigt?
  • Hvem har adgang – og er adgangen rimelig?
  • Hvor længe bør det gemmes – og hvordan slettes/arkiveres?
  • Hvilket værktøj/procedure kan sikre korrekt praksis fremover?

Hvis gruppen kan svare på de fem, kan de også fremlægge som proffer (eller i hvert fald som meget overbevisende amatører).

Version: undervisningsopslag • Brug frit i undervisning og cases • Lav gerne lokale tilpasninger til jeres virksomhed/branche