Skift regnskabsprogram til Dinero - vi flytter dit regnskab HELT GRATIS - Læs mere her
X

Opret gratis konto

GDPR – Databehandleraftale og sikkerhed

Rasmus Nielsen Sidst opdateret: 09/05/2018
Den 9. maj 2018

Den nye europæiske persondataforordning stiller nye krav til virksomheder, men opstiller primært en større strafferamme ved overtrædelse af lovgivningen. Vi har i Dinero altid haft stort fokus på sikkerhed og persondata og vil i fremtiden fortsætte med dette

Vil du gerne vide mere om, hvad GDPR generelt er, før du læser videre? Vi har lavet et blogindlæg om det, som kan findes her.

Hvad skal jeg gøre nu?

Du skal indhente databehandleraftaler – eller en DPA (Data Processing Agreement) hos alle de leverandører, du bruger, herunder Dinero, og de tredjeparter, du eventuelt har integreret til Dinero samt alle andre eksterne systemer, hvor du indtaster personoplysninger om enten ansatte eller kunder.

Har du Dropbox, hvor du opbevarer data om dine kunder? Husk en DPA!

Har du et lønsystem, hvor dine ansatte står i? Husk nu en DPA! :-)

Din databehandleraftale med Dinero kan hentes under dine firmaoplysninger i programmet. Log ind -> Vælg Indstillinger (tandhjulet) -> Firmaoplysninger.

Du kan også se et eksempel på, hvordan aftalen ser ud her.

Sikkerhed i Dinero

Dinero er efterhånden en virksomhed med mange brugere. Og det er vi meget glade for :-)

Det betyder også, at det ikke er alt, vi kan klare i vores eget lille hus. Derfor har vi en række underleverandører.

Du kan altid finde en opdateret liste med alle underleverandører her.

I afsnittet ovenfor har vi skrevet, hvad du skal gøre i forhold til dine underleverandører. Vi har naturligvis gjort det samme med vores underleverandører.

Det vil sige, at vi holder vores underleverandører i kort snor, når det handler om, hvordan de behandler den data, som vi giver videre til dem. Det gør vi gennem en databehandleraftale.

Vi sørger for at beskrive, hvorfor vi sender data til dem, hvilket land de har hjemme i, hvem der har adgang til systemerne hos os, hvilke procedurer der er for sletning, og hvornår vi senest har revideret vores aftale med dem.

Vi vil to gange årligt føre tilsyn med vores leverandører og tjekke op på alle procedurer. Vi stiller store krav til vores både leverandører og os selv i forhold til, hvordan persondata behandles. Der er sådan set ikke noget nyt i alt det her for os. Sådan har det været længe. Det nye er, at det er skrevet ned :-)

Digital data er én ting. Noget andet er det helt lavpraktiske. Hvad med vores bygning? Hvem kan komme ind i den, og hvor let er det at få fat i data?

Svaret er, at det praktisk talt er umuligt for uvedkommende. Som du måske ved ligger Dinero i industriens Hus ved Rådhuspladsen i København. Der er altid mindst tre aflåste døre fra offentligheden til vores kontor. Alle døre kræver personalekort og ved minimum én dør skal indtastes en personlig kode.

Udenfor åbningstid patruljerer vagter i bygningen og er forbi vores kontor flere gange i løbet af aftenen og natten for at holde opsyn. Hvis man opholder sig på kontoret uden for normal arbejdstid, kræver det desuden, at man skriver sig ind hos vagterne, som dermed har overblik over, hvem der er i bygningen.

Sikkerhedsbrud i Dinero

Det giver helt sikkert sig selv, men vi vil gerne slå det fast en ekstra gang: Vi gør altid alt, hvad vi kunne for at sikre jeres data. Det er næppe nogen overraskelse.

Når det er sagt, så hører vi jo også om banker, der har (eller burde have) det bedst tænkelige sikkerhedssetup, men alligevel bliver udsat for datakriminelle, som stjæler data og penge. Derfor er det vigtigt at have en slagplan, hvis uheldet skulle være ude.

Først og fremmest opstiller GDPR regler for, hvad vi skal gøre helt lavpraktisk. Et brud skal meddeles til Datatilsynet og alle berørte uden unødig forsinkelse og senest 72 timer efter bruddet er sket.

Derfor har vi i Dinero lagt en plan.

Planen betyder helt konkret, at der er en struktur på plads i tilfælde af et brud. I Dinero skal et brud straks meddeles til den udpegede sikkerhedsrepræsentant, som vil iværksætte en kortlægning af, hvad der er sket, hvilke data der er tabt, hvem er berørt og – hvis det er muligt – samt fastslå, hvem der har fået adgang til data.

Så snart det er kortlagt, vil det blive meldt til alle berørte brugere. Det handler om gennemsigtighed, om ikke at dække over eller forsøge at skjule noget. I sidste ende er det persondata, og de berørte personer fortjener altid at vide, hvis deres data skulle være faldet i andres hænder.

Vi tager derfor denne proces meget seriøst. Som jeg indledte med at skrive, forventer vi, at disse procedurer aldrig nogensinde skal anvendes, men hvis det skulle ske, er der også en plan for opfølgning. Her vil vi tage stilling til, om sikkerheden er god nok, om der var noget, vi kunne have gjort for at forhindre bruddet, og hvis ja, hvad der så skal ske fremadrettet.

Årlig Revision

Som det fremgår af den databehandleraftale, du har tegnet med Dinero, har du én gang årligt ret til at revidere, hvordan Dinero behandler persondata på dine vegne.

“Den Dataansvarlige er berettiget til at igangsætte en revision af Databehandlerens forpligtelser i henhold til Aftalen én gang årligt.”

Det ville naturligvis være en stor opgave, både for os og dig. Derfor vil vi gøre det så gennemsigtigt som muligt. En gang årligt vil vi derfor helt af os selv lave en revision af vores egen sikkerhed og lægge det på vores hjemmeside.

På den måde får alle lige stor mulighed for at følge med i vores sikkerhed i forhold til persondata. Første revision er beskrevet i dette indlæg som følge af vores forberedelse til GDPR. Næste revision er planlagt til maj 2019. Til den tid kan vi både gøre status på det første år med GDPR og samtidig gennemgå vores (til den tid) nuværende sikkerhed :-)

  • Keld Kunze
    27/05/2018

    Kære Dinero
    Det er meget fint med en databehandleraftale, men den skal jo skrives under af begge parter.
    Som den ligger på jeres hjemmeside er der ingen underskrift.
    Er det ikke en fejl eller hvad tænker I om det?
    Venlig hilsen

  • Rasmus - Dinero
    28/05/2018

    Hej Keld :-)

    Det er meget forskelligt hvordan man angriber accept af sådan en databehandleraftale. Fremfor underskrifter frem og tilbage, har vi valgt at den accepteres igennem de generelle betingelser af Dinero, specifikt dette afsnit:

    “Selve vores behandling af personoplysninger, som Kunden er dataansvarlig for og som opbevares m.v. i Applikationen er reguleret i Databehandleraftalen imellem DINERO og Kunden. Ansvaret for behandlingen af Kundens personoplysninger, er reguleret af disse betingelser.”

    Derfor skal du betragte aftalen som et tillæg til de generelle betingelser, og dermed er de accepteret derigennem. Fortryder du brugen af Dinero kan du naturligvis altid trække dit samtykke tilbage, og bede blive slettet. ;-)

    De bedste hilsner,
    Rasmus

Skriv en kommentar

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Tilmeld dig og få styr på dit regnskab

Kom i gang med det samme - det er helt gratis og uden binding