Jeg har for længst fundet ud af, at jeg hellere må se den nye Persondataforordning (GDPR) som noget grundlæggende positivt. Den giver mig ekstraarbejde i øjeblikket, men grundlæggende er den årsag til, at der bliver ryddet rigtigt meget op i mine digitale “gemmer,” i abonnementer og aftaler med leverandører. Det er positivt. Jeg elsker at få ryddet op, det giver mig en følelse af at kunne overskue tilværelsen meget bedre. Så: juhuu, for Persondataforordningen 🙂

Jeg har to firmaer og i begge firmaer er der ansatte. De har i stor tillid afleveret en hel del data til mig, helt fra før de blev ansat, og den opgave, der lige nu står øverst på min GDPE-liste er derfor :

Hvordan beskytter jeg mine ansattes data? Jeg er nødt til at have en hel del oplysninger på dem, der arbejder for mig, lige fra det allermest lavpraktiske for at kunne udbetale løn f.eks. til mere avancerede oplysninger, som f.eks. fotos og videoer, der bruges til reklame for virksomheden.

Aftaler med de nuværende ansatte

Jeg har købt en GDPR-pakke fra et advokatfirma,  og i den er der en generel vejledning i at lave “dataflow-oversigt” for virksomheden.

I forhold til selve ansættelseskontrakten, havde jeg egentligt tænkt mig, at jeg “bare” ville lave nye kontrakter til alle. Men i min pakke var der et komplet forslag til et tillæg til kontrakter i stedet, og det er faktisk lige til at gå til. Tillægget beder den ansatte om at tillade og bekræfte, at vi har de data, vi har, og der er vel at mærke også et lille afsnit, der tillader, at vi anvender foto og video i vores marketing. Samtidig loves den ansatte, at alt kan blive slettet, så snart de ønsker det, men at det naturligvis kan få nogle konsekvenser. Helt banalt kan vi jo f.eks. ikke udbetale løn, hvis vi ikke må opbevare CPR og registreringsnummer.

Jeg har i min ene virksomhed nogle systemer, der for mig “behandler” data fra de ansatte, f.eks. et vagtplansskemasystem, Planday. De har så selv sendt en databehandleraftale til mig, hvor vi gensidigt aftaler og skriver under på, hvordan vi behandler og beskytter de ansattes data. Det er værd at huske på, hvad du har af systemer, der behandler data. Jeg har i alt fald fundet ud af, at der er flere end man lige først regner med. På min liste står der:

Planday (vagtplanlægning)

Dinnerbooking (onlinebestilling)

Convertkit (nyhedsbreve)

One.com (website)

Unoeuro (website)

Dropbox (lagring af fotos, dokumenter mm.)

 

For hver af disse er det min opgave som dataansvarlig at sikre mig, at vi indbyrdes har en aftale, jeg kan stå inde for.

Indrømmet: jeg synes ikke det er sjovt at læse disse lange kontrakter igennem! Men, der er en del, der vækker stof til eftertanke undervejs – og en del, som jeg har vurderet, at man hurtigt kan skimme igennem. Advokatsprog består af meget lange sætninger med mange fine ord. Men tit kan man gennemskue, hvad det er de forsøger at dække ind, ved blot at se på afsnittet, de skriver.

Jeg har også valgt selv at skrive de programmer, vi bruger, ind i de ansattes tillægskontrakt, så de bliver opmærksomme gjort på, hvor deres data ligger gemt.

Ansættelser og procedure

Sidst har vi især i den ene virksomhed en ret stor grad af ansættelser og selvom vi egentligt har en mail, der hedder job@, så er det alligevel lidt noget rod, når jeg forsøger at overskue det. Der er flere involveret i ansættelserne, og de/vi sender ansøgningerne rundt til hinanden i et sandt sammensurium af private og rigtige firmamails. Vi har en mappe, hvor ansøgningerne ligger, men der ligger også af og til én ansøgning fremme på et bord eller i en skuffe, fordi vi skal bruge en ny ansat i en fart. Det skal der ryddes op i. Nu får de relevante personer fra firmaet adgang til vores jobmail, og der bliver ikke flere videresendelser. Når ansøgninger printes ud, kommer de i mappen, og den skal ligge aflåst i et skab. Desuden er jeg ved at skrive en procedure for, hvordan vi håndterer ansøgninger, hvor længe vi opbevarer dem, hvordan vi sletter dem, og hvem, der kan tilgå dem.

Persondataforordningen og printere

En sidste ting er printeren. Håndterer den personlige data, skal den faktisk have en kode på, fortalte advokaten mig. Det kan de fleste printere, så jeg tænker udfordringen ikke er større end at læse mig til, hvordan man gør, og så give de, der printer den slags data, deres eget kodeord.

Jeg har også overvejet, om vi skal helt derhen, hvor vi krypterer vores email, eller laver en beskyttet kontaktformular til ansøgninger. Det er muligt, jeg kaster mig over det senere, men for nu vælger jeg bare at rydde op og vise, at vi har styr på, hvor tingene bliver sendt hen, og hvordan de bliver behandlet og opbevaret.

Har jeg mon glemt noget – eller har du?  Lad os udveksle i kommentarerne 🙂

 

Tjekliste for sociale medier

Målret dine opslag med disse 7 hurtige skrivetips

Vi sender kun værdi – intet uønsket. Du kan altid afmelde dig med et enkelt klik. Powered by ConvertKit
Hej – godt at se dig igen 🙂 Vidste du at vi også laver kurser?