Er din økonomiafdelingen GDPR klar?
Published on: 21 november 2017
Vi er eksperter i automatisering og har en passion for mennesker. Vi automatiserer dine finansielle processer, så du kan få ro på dine medarbejdere og tid til eftertanke.
Måske forbereder du dig allerede på EU’s nye General Data Protection Regulation (GDPR) – i Danmark også nævnt som både Persondataforordningen og Databeskyttelsesforordningen – som betyder, at der efter den 25. maj 2018 kan pålægges bøder for manglende overholdelse. Hvis du ikke gør, er det tid til at begynde forberedelsen.
Read full article
GDPR basics
GDPR søger at beskytte de personligt identificerbare oplysninger fra EU-borgere – så hvis et firma ønsker at sælge til eller interagere med disse borgere, gælder GDPR for dem.Idéen vil være at fastsætte en konsekvent standard for databeskyttelse, for at beskytte EU-borgernes personoplysninger og modernisere måden virksomhederne nærmer sig kunder i EU med databeskyttelse på.
Ansvar under GDPR spænder fra specifikke tekniske instruktioner som at sikre, at alle involverede har givet informeret samtykke og krypterer følsomme data på mobilenheder og i skyen til mere generelle principper som at sikre “privacy by design“, skabe en “ansvarskultur” og “fastlæggelse af klare politikker og procedurer”
De vigtigste ændringer omfatter:
- Sanktioner for manglende overholdelse (som bliver hårdere end tidligere lovgivning)
- Geografisk anvendelsesområde (som bliver bredere)
- Kunderettigheder (som bliver mere robuste)
- Privacy by design (med andre ord bør databeskyttelse være grundigt integreret i forretningsmæssig praksis)
GDPR vil i sidste ende fastsætte strengere standarder og pålægge virksomheder alvorligere sanktioner for manglende overholdelse. Virksomheder står overfor bøder på op til 20 mio. EUR eller 4% af deres årlige omsætning (afhængigt af hvad der er højest).
GDPR for økonomiafdelinger
Så hvad betyder GDPR for økonomiafdelinger? At håndtere nogle af de mest følsomme oplysninger, en virksomhed sandsynligvis vil håndtere, er et stort ansvar. Hvis afdelingen har lidt et brud, er det muligt, at der er tilstrækkelig information til, at en kriminel overtager kunders konti, stjæler midler og potentielt begår identitetssvindel. Økonomiafdelinger bør være særlig opmærksomme på deres tilgang til overholdelse.
Forberedelse til GDPR er et ansvar for hele virksomheden. Økonomiafdelingen skal ikke drive dette projekt alene og ingen afdeling skal stå udenfor. Hvis du ikke er klar over dine ansvar, er det tid til at ændre det.
For økonomiafdelinger vil følgende særlige ansvar komme i spil:
Arkivering
Virksomheder skal holde et velforvaltet arkiv med fakturaer. Selv om dette er et simpelt princip, kan papiroptegnelser opbevares på forskellige steder, og elektroniske poster kan gemmes på forskellige steder. Efter indførelsen af GDPR kræves det, at arkiverede arkiver gemmes i originalformat og destrueres efter en bestemt frist.
Dataadgang
Virksomheder skal på anmodning give kunder eller leverandører oplysninger om deres personlige data. Dette skal leveres hurtigt og præsenteres i et format, som kunden kan læse og genbruge.
Journalføring
Virksomheder skal have interne registreringer af, hvordan personoplysninger behandles. Det skal også være muligt at udtrække rådata og give en komplet historik om de lagrede oplysninger fra de anvendte systemer og registreringsdatabasen.
Fjernelse af poster
Virksomheder skal efter anmodning fjerne data fra en kunde eller leverandør, der tilbagetrækker sit samtykke til at blive opbevaret. At sikre, at alle relevante data fjernes, og at det på en måde, der ikke påvirker andre optegnelser, kan være den vigtigste udfordring her.
I tilfælde af et brud…
Kunder skal informeres uden unødig forsinkelse, når der er konstateret et brud. For at sikre dette sker, skal virksomheder være klar til at identificere brud så hurtigt som muligt, for at vurdere, hvilke data der blev taget, og at kontakte alle berørte kunder eller leverandører inden for 72 timer.
Der er også nogle simple spørgsmål, som du skal kunne svare på:
- Ved du, hvilke personlige oplysninger du arbejder med?
- Ved du, hvor det opbevares og hvordan det administreres?
- Ved du, hvem der er ansvarlig for at sikre og administrere dataene?
- På nuværende tidspunkt kan der være komplekse svar på disse eller slet ikke noget klart svar.
IT- og datasikkerhedsafdelingen er et centralt element i at sikre korrekt og sikker håndtering af personoplysninger. Åben kommunikation mellem afdelinger er en hjørnesten i principperne indført af GDPR. Ved at have en åben dialog kan du redde din organisation fra et dårligt ry og store bøder.
Hold tingene simple
Overholdelse af GDPR vil medvirke til at sikre, at økonomiafdelingen overholder strenge databeskyttelsesstandarder og kan fuldstændigt ændre den måde, som økonomiafdelingen opererer inden for en virksomhed. Økonomiafdelingen er hvor store mængder af følsomme data vil blive håndteret, og derfor er det den afdeling, der er mest modtagelig for at modtage de største bøder. Alligevel kan nuværende processer kræve kun enkle opdateringer snarere end en fuldstændig arbejdsændring. Rapporterings- og notifikationssystemer skal implementeres for at rapportere problemer så snart de opstår. Sikkerhedsrisici kan styres med automatiserede systemer og processer, hvilket eliminerer en af de væsentligste sikkerhedsrisici derude – menneskelig fejl. Automatisering af nøgleprocesser som indkøbshåndtering og fakturahåndtering gør det nemmere at opfylde de nye krav til GDPR. Ved at automatisere gentagne opgaver, automatiserede systemer med revisionsspor af processer, og digitalisere fakturaflows, bliver det lettere at opfylde de nye krav i GDPR.
Andre interessante artikler
Flere spændende artikler
