Den nye persondataforordning, også kendt som GDPR (General Data Protection Regulation), består af en række EU-vedtagne regler, der skal beskytte persondataoplysninger i EU. Persondataforordningen vil fremover optræde som primær retskilde til behandling af persondata i Den Europæiske Union.

Forordningen påvirker alle virksomheder, der indsamler persondata. Det vil sige både data om kunder, personale/ansatte, og også frivillige. Hvis persondataforordningen ikke overholdes, kan det medføre bøder på helt op til € 20.000.000 eller maximalt 4% af din virksomheds årlige omsætning. Derfor er det også vigtigt for dig, der behandler personfølsomme data, at du sikrer dig, at dine eventuelle eksterne databehandlere, som Heap360, lever op til forordningen, inden den træder endeligt i kraft d. 25. maj 2018.


Heap360's roller

Vi ved det er vigtigt for jeres organisation at leve op til persondataforordningen. Når jeres organisation benytter Heap360, bliver vi reelt set tildelt en rolle som jeres databehandler. Derfor er det essentielt, ikke bare for jer, men også for os, at vi lever op til alle aspekter af persondataforordningen.

For at sikre os at Heap360 lever op til alle krav, arbejder vi med vores to roller som dataansvarlig og databehandler.

Heap360 som dataansvarlig

Vi har et ansvar overfor den data og kommunikation vi samler omkring vores kunder. Det handler f.eks. om e-mails modtager fra ansatte hos vores kunder, vores brug af data til markedsføring osv. Vi er i fuld gang med arbejdet omkring interne processer for at sørge for at vi lever op til kravene.

Heap360 som databehandler

Når vores kunder benytter vores platform til at indsamle persondata, er det yderst vigtigt at kunne stole på at dataen behandles efter kravene i persondataforordningen. Vores databehandler-rolle er den vigtigste for jer at være informeret om. Da det er jeres data, er det vigtigt for jer at kunne sikre, at behandlere af denne data, som Heap360, overholder GDPR-reglerne.


Hvad gør Heap360 for at blive klar til GDPR?

Vi tager den nye forordning meget alvorligt, og vi er allerede i fuld gang med at analysere og implementere ændringer for at sikre at vi opfylder alle krav inden det nye regelsæt træder i kraft. Vi arbejder med en GDPR-konsulent, samt vores advokat, hvor vi gennemgår nuværende data og processer. Her er nogle af de tiltag vi er igang med:

  • Vi udarbejder en dokumentation omkring datasikkerhed. Denne vil vi gøre tilgængelig på platformen inden forordningen træder i kraft.
  • Vi implementerer forbedringer til selve platformen, eksempelvis advarsler relateret til GDPR, mulighed for fuld sletning af en person, anonymisering af data hos inaktive personer osv.
  • Som del af platformen vil administratorer få adgang til en log over hvem der har tilgået systemet hvornår samt udvalgte persondata-følsomme handlinger udført på platformen.
  • Vi indarbejder persondatahåndtering som en aktiv del af vores udvikling, Privacy by Design.

Inden persondataforordningen træder i kraft vil vi opfylde alle krav fuldt ud.


Hvad skal I gøre?

Da det er jeres data som I arbejder med i Heap360, er det i sidste ende op til jer, at I overholder reglerne som dataansvarlig. Vi vil dog gøre alt hvad vi kan, for at hjælpe jer til at gøre dette så smertefrit som muligt. Nedenfor er nogle opgaver i skal være opmærksomme på, og som kræver handling fra jer, inden persondataforordningen træder i kraft:

  • Vi vil kontakte jer, evt. i forbindelse med kontraktfornyelse, for at underskrive en ny databehandleraftale (en del af kontrakten). Denne aftale er vigtig for jeres egen dokumentation.
  • I skal have en datapolitik hvor I beskriver hvilken data der indsamles, begrundelse for hvorfor dataen indsamles, hvordan den benyttes og på sigt slettes igen. Heap360 tilbyder en skabelon på platformen som I kan benytte jer af.
  • Undersøg hvilken data i indsamler fra personer i Heap360. Indsamler i helbredsoplysninger (eks. om en person har fysiske skader) opstår der særlige krav til jeres dokumentation (datapolitik). Det vil være nødvendigt for jer at udvide jeres datapolitik (hvis I har benyttet vores skabelon) for at begrunde indsamlingen af helbredsoplysninger. Vi vil opfordrer til at tænke to gange over om man virkelig har behov for denne data - evt. tænk på informationen kan indsamles på en anden måde, f.eks. “Kan du udfører fysisk hårdt arbejde?” i stedet for “Har du ryg/knæskader?”.

Kontakt os gerne hvis I har spørgsmål til GDPR! Vi vil løbende sende opdateringer ud på email.