GDPR

GDPR er en forkortelse, der står for General Data Protection Regulation. Det er en EU-lovgivning, som er blevet vedtaget for at beskytte de europæiske forbrugere. Databeskyttelsesloven trådte i kraft i maj 2018, og den vil komme til at påvirke alle virksomheder, der indhenter persondata om EU-borgere.

  • Læsetid: 9 min.

  • Sidst opdateret 11/09/2024

Dinero er GDPR compliant - På denne side kan du også læse om, hvad GDPR betyder for dig, når du har Dinero som regnskabsprogram.

Hvad er GDPR?

Der bliver udvekslet personlige informationer som aldrig før. Nettet bugner med nethandel, og forbrugernes personlige data flyder i en lind strøm rundt om på nettet. Det har ført til et behov for en databeskyttelsesforordning (GDPR), som skal gælde i hele EU.

EU-forordningen har fået navnet GDPR. Det er en forkortelse for General Data Protection Regulation. Forordningen er blevet vedtaget for at beskytte forbrugerne og deres data. Loven trådte i kraft den 25. Maj 2018, og den får betydning for alle virksomheder på det europæiske marked. I Danmark supplerer databeskyttelsesloven reglerne i EU-forordningen (GDPR).

For at forstå GDPR yderligere bliver vi også nødt til at stifte bekendtskab med et par af de centrale begreber i forordningen. De mest centrale er: Data Subject, Data Controller og Data Processor. Dem kan du læse mere om her:

Et Data Subject er dig, mig og alle andre personer, som har data liggende et sted. Når jeg bliver ansat, får jeg en kontrakt, hvor mit navn, min adresse m.v. står i. Jeg bliver oprettet i et lønsystem, hvor min personlige information står, og i en lang række andre systemer.

En kunde, vi sælger til, opbevarer vi typisk også informationer om. En e-mail, et navn og en adresse, måske indsamler vi data på andre måder om vores kunders forbrugsvaner på vores hjemmeside, hvis vi har sådan en, eller er du fx kiropraktor eller anden behandler, har du måske en logbog over dine kunders skavanker.

Når vi taler persondata, er der desuden to underkategorier: Den ene er personhenførbare data, som navn, adresse, email, IP-adresse og lignende. Den anden kategori er personfølsomme data, som gælder fx sygehistorik, seksuel orientering og straffeattest.

Som navnet antyder, skal vi være mere påpasselige med den personfølsomme data end med personhenførbare data, men begge dele ligger altså under GDPR’s beskyttende frakke.

I Dinero opbevarer vi blandt andet information om dig som privatperson samt de kunder, du indtaster i systemet. Hvem, der har ansvaret for den data, bliver udpenslet i vores næste to begreber.

Datacontroller er den, der styrer persondataen og dermed bestemmer formålet for opbevaringen og behandlingen. I Dinero bliver du altså controller over dine kunders data. Du lægger dataen ind i Dinero og bestemmer og giver din accept over, hvad den skal bruges til. Datacontrolleren har også ansvaret for dataen på vegne af personen.

Dinero er foruden ovenstående også datacontroller over de data, du indtaster i systemet om dig selv og de spor, du efterlader på vores hjemmeside. Det er altså data, vi bestemmer formålet med, men hvor du skal give din accept, ligesom det sker i dag igennem betingelserne. Dette stilles der dog krav til, som jeg vil beskrive længere nede.

Dataprocessoren behandler persondata på vegne af controlleren. De udfører altså de handlinger, som controlleren har givet accept til, og skal agere ud fra controllerens instruktioner. I Dinero-regi bliver vi processor over dine kunders persondata, som du indtaster i systemet. Samtidig sender vi data videre til vores databehandlere. Vi skal dermed acceptere lignende vilkår hos dem, som du skal hos os, for at sikre, at reglerne overholdes gennem hele kæden.

Foruden de tre centrale begreber opstiller GDPR også krav til opbevaring og behandling af persondata. Tidligere har særligt store IT-virksomheder opbevaret al den data, de kunne komme i nærheden af. Data er viden, og viden er mange penge værd. Det bliver ikke så simpelt at gøre fremadrettet.

Hvilken betydning har GDPR for din virksomhed?

Du skal som virksomhed leve op til en række krav, når det kommer til indsamling og brug af personlige data. Det skal alle de virksomheder, der bruger nettet til at indsamle personlig data om EU-borgere – også hvis selve virksomheden ikke har hjemme i Europa.

Der er strikse krav i forhold til dokumentering og afrapportering. Du bliver altså som virksomhed stillet til ansvar for de data, som du indsamler og bruger. Den enkelte forbruger får på samme tid mange flere rettigheder. Der bliver stillet højere krav til samtykke, når det kommer til personaliseret markedsføring til den enkelte forbruger, og du kan som virksomhed ikke længere opbevare persondata i så lang tid, som du ønsker.

GDPR har stor betydning for alle virksomheder, der håndterer persondata eller bruger det i sin markedsføring. Du bliver som virksomhed derfor nødt til at sætte dig godt ind i reglerne for GDPR. Det kan betyde, at du skal skifte systemer og procedurer i din virksomhed og måske endda ansatte en Data Protection Officer.

Du skal huske at opdatere dine GDPR-dokumenter, -processer etc., så de passer til de nye regler om lovpligtig timeregistrering, der gælder alle danske virksomheder.

Det er også vigtigt at overholde alle krav til GDPR (samt andre relevante regler og love), hvis du har en whistleblowerordning.

Hvilke krav opstiller GDPR?

En central ændring med lovens indførelse er, at du og dine kunder skal give deres utvetydige accept af, at deres persondata indsamles og behandles. I GDPR kalder vi det Consent eller samtykke. GDPR beskriver, at den nye accept ikke må gemmes væk i mange siders betingelser, og det skal være letforståeligt og letlæseligt, præcist hvad der gives samtykke til.

Disse betingelser skal beskrive et formål med opbevaring og behandling af din persondata. Formål kan spænde vidt, men når formålet ophører, ophører dit samtykke altså ligeledes. Din persondata skal slettes, anonymiseres eller lignende, så det ikke kan ledes tilbage til dig.

Det betyder derfor, at man ikke uden hæmning kan opbevare data til al evighed, som man tidligere har kunnet. Foruden ophør af formål skal persondata ligeledes bortskaffes eller anonymiseres således, at det ikke kan spores tilbage til dig, hvis du beder om det.

Samtidig skal du inden dette have mulighed for at få udleveret den data, der er indsamlet om dig, hvis du ønsker det. Således får du mulighed for at tage stilling til, om formål overholdes, og om du gerne vil have det slettet.

Hvad sker der, hvis din virksomhed ikke lever op til kravene?

Driver du en virksomhed, bliver du nødt til at forholde dig til GDPR. Det kan nemlig få alvorlige konsekvenser, hvis du ikke efterlever de krav og skærpelser, der er blevet opstillet. Overtræder din virksomhed GDPR-lovgivningen, kan det udløse bøder af den helt store størrelsesorden.

Bøder for at overtræde kravene ligger helt oppe på 10 millioner Euro og 20 millioner Euro alt efter, hvilke krav der bliver overtrådt. Det er ikke for sjov, at EU har indført denne lovgivning, og din virksomhed bliver altså straffet meget hårdt økonomisk, hvis du ikke overholder loven.

DPA – Data Processor Agreement

En Data Processor Agreement (DPA) bliver det helt centrale for dig, andre virksomheder og i det hele taget alle, der kontrollerer data. Vi kalder det en Databehandleraftale, og formålet er at have en aftale med sin processor om, præcis hvilke persondata du videregiver, og hvad den kan og må bruges til. Det bliver en form for erhvervsbetingelser for at videregive persondata til en tredjepart.

Det er naturligt, at virksomheder som Dinero ikke er i stand til at lave en individuel aftale med alle 150.000 firmaer, der er oprettet i Dinero. DPA’en bliver derfor en standardaftale, som du som bruger modtager og giver din accept til – hvis du altså ønsker dette. 

Når DPA’en er på plads, har du altså en aftale med os om, hvordan vi behandler dine kunders data som din dataprocessor. Herunder hvad vi bruger den til, og hvilket formål det har. Aftalen er ganske central for dig som erhvervsdrivende, og arbejder du i flere programmer, hvor du indtaster oplysninger om medarbejdere, kunder og lignende, er det vigtigt, at du indhenter en sådan DPA fra dem alle.

Det er din garanti for, at din leverandør overholder kravene opstillet i GDPR, og for at de selv har hentet en DPA hos deres underleverandører. Med den på plads er der styr på, at dine kunders data kan slettes, anonymiseres og hentes ud af Dinero til dine kunder, hvis du ønsker det. Du overholder altså med en sådan aftale kravene, der er opstillet i GDPR og siges dermed at være compliant på dette område.

Vi forventer at have vores DPA klar i starten af 2. kvartal 2018, så du også i god tid inden 25. maj kan have ro i sindet omkring din brug af Dinero.

Betingelser

I foråret 2018 kom der efter GDPR, nye og opdaterede betingelser til Dinero. Betingelserne indeholder afsnit om de oplysninger, du indtaster om dig selv i systemet.

Det er ikke mange informationer, vi opbevarer om dig, men nogle ting kan vi ikke komme udenom. En IP-adresse, navn, adresse, hvordan du klikker rundt i programmet og lignende. Har du hobbyvirksomhed eller PMV uden CVR-nummer, er det også muligt, at dit CPR-nummer er indtastet.

Alt dette ejer du, og du har krav på at få slettet, hentet ud eller anonymiseret. Dette kommer der nye betingelser til, hvor du skal give din accept, og hvor vores formål med indsamling af din data bliver angivet.

Fx navn og adresse er relevante for at skrive en faktura. Information om hvor du klikker i programmet bruger vi til at optimere siderne, og information om dine klik i hjælpeartikler bruger vi til at give dig de bedst mulige forslag, når du søger i vores hjælpecenter.

Sikkerhedsbrud i Dinero

Det giver helt sikkert sig selv, men vi vil gerne slå det fast en ekstra gang: Vi gør altid alt, hvad vi kan for at sikre jeres data. Det er næppe nogen overraskelse.

Når det er sagt, så hører vi jo også om banker, der har (eller burde have) det bedst tænkelige sikkerheds-setup, men alligevel bliver udsat for datakriminelle, som stjæler data og penge. Derfor er det vigtigt at have en slagplan, hvis uheldet skulle være ude.

Først og fremmest opstiller GDPR regler for, hvad vi skal gøre helt lavpraktisk. Et brud skal meddeles til Datatilsynet og alle berørte uden unødig forsinkelse og senest 72 timer efter bruddet er sket.

Konklusion

Ovenstående kan være en stor mundfuld. Dette er endda kun toppen af det isbjerg, der hedder GDPR. Det er dog også det, som vi ser som det mest centrale at forholde sig til.

Har du givet samtykke til de nye betingelser og en DPA fra Dinero inden 25. maj 2018, kan du altså roligt og trygt fortsætte dit samarbejde og det samme gælder for øvrigt også andre underleverandører, du måtte have, hvor du indtaster persondata.

Var denne artikel nyttig?

Gør som 0 virksomheder

Brug Danmarks mest anbefalede regnskabsprogram