Få ført jeres dokumentation ajour
GDPR var højaktuelt omkring 2018, hvor EU-direktivet trådte i kraft, men hånden på hjertet: Kom I mål med beskrivelserne? Har I holdt dem ved lige, eller er I nye på markedet? På dette kursus får du indblik i, hvilken dokumentation din organisation bør have for at bevise, at I passer på organisationens og de ansattes data.
Vi tager fat om GDPR på et overordnet plan og koncentrerer os om:
- lovgivningen og databehandleraftaler
- leverandørstyring
- slettepolitik.
På andre områder henviser vi til skabeloner, du kan bruge.
Test dig selv – har du brug for kurset?
Hvis du kan svare ”Ja” til alle punkter i oversigten her, er du på nogenlunde stabil grund i forhold til ledelsesdokumenter. Hvis du vakler lidt, kan du få gavn af dette kursus.
Hvis datatilsynet kommer i morgen, kan du så fremlægge følgende dokumenter:
En fortegnelse over databehandlere*
En fortegnelse over databehandlingssteder*
En fortegnelse over dem, I videregiver persondata til*
En fortegnelse over dataudveksling til 3.lande*
En fortegnelse over brud på persondatasikkerheden*
Databehandleraftaler efter datatilsynets nye skabelon*
En opdateret privatlivspolitik*
En opdateret slettepolitik*
En vurdering af risici generelt for virksomhedens it-anvendelse
En vurdering af risici for virksomhedens persondataanvendelse*
En opdateret it-sikkerhedspolitik, som beskriver kontroller i jeres aktuelle it-anvendelse*
Dokumentation for sletning i henhold til din slettepolitik*
Dokumentation for tilsyn med jeres databehandlere*
* Datatilsynskrav
Her kan du se nogle af de forhold, kurset går i dybden med
Lovgivningen og databehandleraftaler
Vi kommer til at tale om, hvilken lovgivning der gælder for din branche, og Datatilsynets anbefalinger.
- Når data opbevares uden for din organisation, hvornår skal du så indgå en databehandleraftale? Er det en databehandleraftale med en dansk eller udenlandsk leverandør?
- Hvis en kunde eller et medlem beder om indsigt i, hvilke data I opbevarer om dem, kan I så oplyse det?
- Hvis I eller jeres leverandør har et databrud, er I da klar til at indberette dette til Datatilsynet og de berørte inden for tidsgrænserne?
- Har I udpeget en GDPR ansvarlig – eller har I en DataProtectionOfficer (DPO)?
Leverandørstyring via en systemoversigt
I dag er det vigtigt at have styr på, hvilke leverandører I har og ikke mindst, om I har data liggende hos eksterne leverandører. Er det almindelige data (navn, telefonnr., osv.) eller personfølsomme data (seksuel orientering, race, fagforeningsforhold osv.)? I er med andre ord nødt til at kategorisere jeres data. Hvis det er personfølsomme data, hvordan fører I så tilsyn med, at leverandørerne opbevarer jeres data korrekt? Får I revisionserklæringer, eller laver I inspektion hos jeres leverandør? Spørger I, om I er berørt af eventuelle bemærkninger i erklæringen?
På kurset ser vi også på, hvornår de forskellige erklæringer benyttes, blandt andre:
- Erklæring ang. persondata – ISAE3000 type1/type2
- Erklæring ang. applikationskontroller – ISAE3402
- Erklæring ang. generelle i kontroller ISAE 3402
- SOC-erklæringer.
Slettepolitik og retten til at blive glemt
Data må kun opbevares, mens den er relevant, derfor skal der laves procedurer, der sørger for, at uaktuelt materiale bliver slettet. Hvis en kunde eller et medlem beder om, at I sletter alle oplysninger om vedkommende – retten til at blive glemt – ved I da, hvornår og hvordan I skal imødekomme sådan et ønske?
Hvem er du?
Kurset er for dig, der gerne vil have viden om GDPR eller skal overtage området fra en kollega. Eller hvor I som organisation er i tvivl om, om I har fået undersøgt de mest almindelige vinkler.
Det praktiske
Dato og tid
Datoen for næste kursus er p.t. ikke planlagt. Kontakt os, hvis du er interesseret i kurset.
Sted
Kurset afholdes i Ri/Regnskabsskolen, Skagensgade 1, 2630 Taastrup. Det er 5 minutter fra Høje Taastrup station.
Pris
Kurset koster 5.300 kr. inkl. undervisningsmateriale, frokost og løbende forplejning.
Der er højst 14 deltagere på holdet.
