Få hjælp til GDPR
.jpg)
Den 25. maj 2018 træder et nyt EU-direktiv i kraft, som har til hensigt at skærpe kravene til hvordan EU-borgeres persondata indsamles, behandles og opbevares. Hos GoMentor går vi meget op i beskyttelse af persondata, og vi hilser derfor det nye direktiv velkommen. Som psykolog, terapeut og coach er der i forvejen høje krav til beskyttelse af klienters persondata, men der er i direktivet også nye krav, som er vigtige at forholde sig til. Nedenfor gennemgår vi disse ting, der er centrale i Persondataforordningen, og hvordan GoMentor hjælper med, at der leves op til den nye lov.
Når der behandles persondata, er der primært to parter involveret; databehandler og dataansvarlig. Forholdet mellem GoMentor og mentorer, samt hvem der opfylder hvilke roller og deres forpligtelser er beskrevet i den databehandleraftale, der er mellem GoMentor og mentorer.
På Datatilsynets hjemmeside kan du læse mere om forholdet mellem databehandler og dataansvarlig.
Skal jeg som mentor gøre noget?
Nej. Forholdet mellem databehandler og dataansvarlig er skrevet ind i den databehandleraftale som alle mentorer på GoMentor accepterer i starten af samarbejdet.
Den nye Persondataforordning foreskriver, at persondata skal lagres inden for EU med et tilstrækkeligt sikkerhedsniveau, hvilket GoMentor i forvejen gør. Al persondata, der gives i forbindelse med bookinger, kontakthenvendelser, sessioner m.m. opbevares altså inden for EU og er beskyttet.
Enkelte værktøjer, vi benytter, såsom Mailchimp til nyhedsbreve, sender enkelte data til 3. lande uden for EU (navn og e-mail adresse) - i disse tilfælde er der sikret det lovpligtige niveau for sikkerheden, GDPR-overholdelse, samt indgået en databehandleraftale.
Skal jeg som mentor gøre noget?
Nej. Alle kontakthenvendelser, brugeroplysninger og sessioner via GoMentor er i forvejen sikret og opbevares inden for EU efter de gældende regler.
Benytter du andre systemer til eksempelvis journalføring, mail eller en digital kalender over sessioner, skal du på egen hånd sikre dig, at disse overholder de gældende regler.
Et væsentligt krav i Persondataforordningen er oplysning om den databehandling, der finder sted, og nye krav til samtykker. Behandling af persondata skal altid have en oplyst berettigelse for at må finde sted. Det kan være:
Da der ved terapi, coaching og personlig udvikling er tale om følsomme persondata, er det påkrævet at indhente samtykke fra den enkelte EU-borger. Ved brug af GoMentor sker denne oplysning i forbindelse med en kontakthenvendelse eller booking, hvor der bl.a. oplyses:
Skal jeg som mentor gøre noget?
Nej, GoMentor sørger for at indhente samtykke hos brugerne af platformen Når nye klienter oprettet af mentor logger ind første gang vil vedkommende skulle checke af i en boks, hvorpå en samtykke erklæring vil blive genereret og gemt i vores system.
Som noget nyt skal visse virksomheder udpege en Data Protection Officer (DPO). DPO’ens rolle er løbende at sikre, at virksomheden lever op til kravene i den nye Persondataforordning.
På Datatilsynets hjemmeside kan du læse mere om, hvad en DPO er og kravene hertil.
Skal jeg som mentor gøre noget?
Nej. GoMentor har udpeget en DPO, der rådgiver os om den nye Persondataforordning, har sikret, at vi lever op til direktivet, samt assisterer ved EU-borgeres og myndigheders henvendelser vedr. persondata.
EU-borgere har fremadrettet ret til at få fuld indsigt i, hvilke persondata der opbevares og behandles om dem, samt muligheden for at eksportere disse data hvis det ønskes. GoMentor har udviklet en funktion hertil, der er placeret i brugernes dashboards.
Skal jeg som mentor gøre noget?
Nej.
Som EU-borger har man ret til at blive glemt hos virksomheder, når data ikke længere skal benyttes til et sagligt formål. Det betyder, at man har ret til at få sine data slettet. Som bruger på GoMentor informeres man bl.a. om, hvor længe data opbevares ved kontakthenvendelser og bookinger. Derudover er det muligt at gøre indsigelse i brugen og opbevaring af persondata via sit dashboard.
Skal jeg som mentor gøre noget?
Nej. Hvis din klient ønsker at blive glemt fra GoMentor før den automatiske sletning, skal vedkommende gøre indsigelse mod brugen og opbevaring af persondata via sit dashboard eller ved at kontakte support. Husk, at retten til at blive glemt også gælder dig som mentor, medmindre du er forpligtet af lov til at fortsat opbevare disse persondata.
En væsentlig del af Persondataforordningen handler om beskyttelse af persondata, både ift. sine systemer og processer. I GoMentor har vi altid haft databeskyttelse som et ufravigeligt krav i vores udvikling og drift, hvilket betyder, at al data er beskyttet og krypteret, både ift. behandling, overførsel og opbevaring.
Skal jeg som mentor gøre noget?
Ja. Du skal sikre, at eventuelle andre systemer, du benytter, lever op til det nye direktiv. Derudover skal du indgå databehandleraftaler med de databehandlere, du samarbejder med.
Som dataansvarlig har du pligt til at udarbejde en konsekvensanalyse, der bl.a. beskriver de systemer og processer, du arbejder med, samt en vurdering af de risici, disse medfører - eksempelvis, hvis persondata falder i forkerte hænder. Du skal også beskrive, hvilke sikkerhedsforanstaltninger du tager ift. beskyttelsen af disse persondata.
På Datatilsynets hjemmeside kan du læse mere om kravene til en konsekvensanalyse.
Skal jeg som mentor gøre noget?
Ja. Du skal selv udfærdige denne konsekvensanalyse.
Med det nye EU-direktiv er der skærpede krav til underretningspligten ved databrud. Såfremt der opstår et databrud (eksempelvis uvedkommende får adgang til din mailboks), skal du som dataansvarlig eller databehandler informere Datatilsynet inden for 72 timer. Som databehandler har GoMentor pligt til at underrette brugere og Datatilsynet om eventuelle databrud. Derudover har vi sikret, at vores systemer og processer er sikrede, samt at vi har en proces, hvis der mod forventning opstår et databrud.
Skal jeg som mentor gøre noget?
Ja. I tilfældet af et databrud skal du informere Datatilsynet inden for 72 timer. Det gælder også, hvis du modtager information fra os om databrud.
En af de væsentligste ting i Persondataforordningen er kravet til intern dokumentation over behandlingsaktiviteter, processer og sikkerhedsforanstaltninger. Denne interne dokumentation skal kunne fremvises for Datatilsynet, hvis de kommer på besøg. GoMentor har selv al denne dokumentation på plads.
På Datatilsynets hjemmeside kan du læse mere om kravene til dokumentation og fortegnelse.
Skal jeg som mentor gøre noget?
Ja. Du skal selv dokumentere din virksomheds overholdelse af Persondataforordningen.
Såfremt du har spørgsmål til GoMentors overholdelse af Persondataforordningen, er du velkommen til at kontakte os på support@gomentor.com.
Du kan også læse mere om Persondataforordningen og Datatilsynets vejledninger på Datatilsynets hjemmeside.
