GDPR værktøjskasse – redskaber til hverdagen

Administrative redskaber

Hverdagsværktøjer (ting man faktisk kan gøre i morgen)

1

Fortegnelse over behandlingsaktiviteter
“Hvad har vi af data – hvor er det – og hvorfor?”

⌄

Et simpelt overblik over virksomhedens persondata.

Hvilke data har vi? (navn, mail, ordredata, medarbejderdata osv.)
Formål: hvorfor gemmer vi dem?
Hvor ligger de? (systemer, mails, SharePoint, papir)
Adgang: hvem kan se dem?
Opbevaring/sletning: hvornår rydder vi op?

Excel / Word Overblik Lav friktion

2

Dataklassificering
“Hvad er almindeligt, og hvad kræver ekstra lås?”

⌄

En enkel “trafiklys-model” som medarbejdere forstår:

Grøn: Almindelige persondata (navn, e-mail)
Gul: Fortrolige data (løn, ansættelsesforhold, interne noter)
Rød: Særlige kategorier (fx helbred) – kræver ekstra kontrol

Trafiklys Awareness Let at forklare

3

Slettepolitik
“Oprydning er også GDPR”

⌄

Definér hvor længe data må ligge og flyde rundt..

Gamle kundehenvendelser: slettes/arkiveres efter X måneder
CV’er/ansøgninger: slettes efter rekruttering afsluttes (+ kort periode)
Fratrådte medarbejdere: adgang lukkes straks, data håndteres efter policy

Husk: “Vi gemmer det bare… for en sikkerheds skyld” er ofte ikke et godt formål.

Retention Oprydning Lav risiko

Tekniske redskaber

Sikkerhed

4

Adgangsstyring
“Need to know – ikke ‘alle kan alt’”

⌄

Kontrollér hvem der kan se/rette persondata. Det er ofte den hurtigste risikoreduktion.

Ingen delte logins ❌
Roller og rettigheder (fx “kundeservice”, “HR”, “økonomi”)
Fjern adgang når folk skifter job/rolle

Mini-tjek: Hvilke 3 systemer har flest adgangsbrugere – og giver det mening?

Rettigheder M365 / CRM / ERP

5

Kryptering & sikre systemer
“Hvis en laptop forsvinder, må data ikke følge med”

⌄

Krypteret harddisk (bærbare + telefoner)
Sikker cloud-lagring fremfor lokale USB-drev
Backup (og test af restore!)

Huske-sætning: Backup uden test er som faldskærm uden snor.

Encryption Backup Device security

6

Logning og sporbarhed
“Hvem gjorde hvad – og hvornår?”

⌄

Logning hjælper både ved hændelser og ved intern kontrol.

Adgangslog (login, download, ændringer)
Audit trails i systemer (CRM, ESDH, HR-systemer)
Gennemgå log ved mistanke om brud

Praktisk pointe: Logning er ikke mistillid. Det er “vi kan forklare hvad der skete”.

Audit Kontrol

Politikker & procedurer

Det kedelige papirarbejde… kan redder jer

7

Interne retningslinjer
“Korte regler der faktisk bliver læst”

⌄

Hold dem korte.

Hvordan sender vi persondata? (mail, links, deling)
Hvad må ligge i Teams/SharePoint?
Hvad gør vi med print/papirer?
Hvordan håndterer vi forespørgsler fra registrerede?

Tommelregel: Én A4 pr. emne.

8

Beredskabsplan ved brud
“Hvad gør vi når uheldet er ude?”

⌄

En enkel plan kan gøre forskellen.

Hvem kontaktes internt? (tovholder / IT / ledelse)
Hvad dokumenteres? (hvad, hvornår, hvem, omfang)
Hvordan stopper vi skaden?
Vurdering af anmeldelse/underretning

Mini-øvelse: “Forkert mail sendt til forkert modtager” – hvad er første 3 skridt?

Mennesker & kultur

Den største risiko

9

Medarbejdertræning
“Små doser, ofte – og med eksempler”

⌄

Korte oplæg (15–20 min) med cases fra hverdagen
Mini-quiz: “hvad er ok at sende på mail?”
Træn reaktionsmønster: “Stop – Tænk – Tjek”

10

GDPR-tovholder
“Én rorgænger”

⌄

Det behøver ikke være en DPO. Bare én der holder styr på:

Spørgsmål fra medarbejdere
Opdatering af procedurer
Årlig status / mini-audit
Kontakt til IT/leverandører ved ændringer

Praktisk: Tovholderen skal ikke lave alt – men sikre at nogen gør det.

Bonus

Ekstra redskaber

+

Flere typiske GDPR-dokumenter og tjeklister
“Det der gør jer robuste i praksis”

⌄

Databehandleraftaler (når leverandører behandler data for jer)
Samtykke-oversigt (hvor bruger I samtykke – og hvor gør I ikke?)
Tjekliste ved nye systemer (hvilke data, adgang, sletning, logning)
Årsplan for GDPR-opfølgning (mini-audit, træning, rettighedsgennemgang)
Skabelon til håndtering af forespørgsler (indsigt, sletning, rettelse)

God vane: Når I køber et nyt system: “Hvor ligger data?”, “Hvem har adgang?”, “Hvordan sletter vi?”.

Mini-tjekliste til gennemgang

5 ting I kan tjekke i virksomheden i løbet af en uge ✅

Har vi en simpel fortegnelse? Mindst: system → datatyper → formål → adgang → sletning.

Er delte logins væk? Hvis “kundeservice@…” logger ind som en person, så er det en rød lampe.

Ved folk hvad der er “rød data”? Dataklassificering / trafiklys-model gør underværker.

Har vi en slettepolitik der faktisk bruges? Oprydning i mails, mapper og systemer. Ikke kun gode intentioner.

Findes der en brud-plan? Hvem gør hvad, hvis der sendes forkert mail eller et device forsvinder?