Alle virksomheder, offentlige myndigheder og organisationer i EU er forpligtet til at følge GDPR reglerne, når de behandler persondata, og det er virksomhedens eget ansvar at sikre, at reglerne bliver fulgt.

Da GDPR blev indført havde mange spørgsmål til, hvordan forordningen skulle håndteres og efterleves. Ét af Europas største data- og analysevirksomheder er Bisnode, der har et indgående kendskab til både opbevaringen og behandlingen af mange forskellige typer data. Bisnode har samlet en guide til, hvordan virksomheder varetager en sikker opbevaring af personfølsom data.

For da GDPR blev indført, stod mange med spørgsmål som: “Hvad er GDPR?” og “Hvad må man ifølge GDPR?”. Og selvom flere virksomheder i dag har bedre styr på GDPR reglerne, oplever mange virksomheder også stadig udfordringer i, hvordan GDPR efterleves når det kommer til en sikker og korrekt opbevaring af personfølsom data.

Hvad er personfølsom data
For at efterleve GDPR reglerne er første skridt at kende definitionen på, hvilken data som loven beskytter. Al data der kan bruges til at identificere en person, betegnes som persondata, og er eksempelvis:
- Navn
- Adresse
- Fødselsdato
- Email adresse
- Jobstilling og arbejdsområde

Personfølsom data, eller fortrolig data, skal også behandles efter GDPR forordningen, og er eksempelvis:
- CPR-nummer,
- Økonomi og skatteforhold
- Familie- og sociale forhold
- Race og etnisk baggrund
- Politisk-, religiøs- og filosofisk overbevisning
- Fagforeningsmæssige forhold
- Helbredsmæssige og seksuelle forhold
Sikker opbevaring af personfølsom data
Der er en række tiltag og processer virksomheder bør indføre, for at efterleve GDPR korrekt og opbevare persondata sikkert. Du kan undgå brud på GDPR og store bøder til din forretning, ved at følge disse 3 råd til sikker opbevaring af persondata:
Slet data, der ikke må bruges
Persondata som virksomheden ikke længere har ret til at opbevare, skal slettes med det samme. Er persondataen ikke blevet givet med et informeret og frivilligt samtykke, har virksomheden ikke ret til at opbevare dataen. Er dataen blevet brugt til et projekt eller en opgave, skal denne data slettes når opgaven eller projektet slutter. Virksomheder må ikke gemme data eller bruge dem til andre formål, end den registrerede har givet samtykke til. Trækker en registreret person sit samtykke tilbage, skal virksomheden også slette dataen ifølge GDPR.

Som virksomhed er det derfor vigtigt at data opdateres løbende, og I sletter den data, som ikke længere må eller skal bruges.

Udpeg en databeskyttelsesansvarlig
Hvis jeres virksomhed er afhængig af behandlingen af personoplysninger er I, ifølge GDPR, påkrævet at udpege en databeskyttelsesansvarlig. Den databeskyttelsesansvarlige skal sikre at behandlingen af persondata overholder lovgivningen, og at relevante aktiviteter og systemer omkring persondataen lever op til de gældende krav. Det vil også ofte være den databeskyttelsesansvarlige, der vil kontakte nationale tilsynsmyndigheder, hvis der sker et databrud. Dette skal gøres indenfor 72 timer af bruddet.

Lås fysisk data inde
Ikke alle virksomheder og organisationer behandler persondata digitalt, men derfor skal GDPR stadig følges. Hvis en virksomhed eller organisation har persondata i fysisk format, såsom på papir eller en USB, skal dette låses inde, når de ikke bruges.

Hold IT og software opdateret
Al software og teknologi I som virksomhed benytter til at behandle og opbevare persondata, bør altid være opdateret og sikkert. Dette indkluderer stærke passwords til delte IT systemer, og muligheden for at kunne slette data i relevante systemet. Det er jeres ansvar som virksomhed, at den persondata I indsamler, ikke er tilgængelige for udefrakommende eller deles med andre.