GDPR og datasikkerhed i digitalisering af arbejdsgange
GDPR og datasikkerhed i digitalisering handler om at sikre, at digitale arbejdsgange og selvbetjeningsløsninger behandler personoplysninger lovligt, sikkert og dokumenterbart - i overensstemmelse med databeskyttelsesforordningen. Det gælder både hvordan data indsamles, hvordan de opbevares, og hvem der har adgang til dem undervejs i en arbejdsgang.
Det gælder for kommuner, regioner, styrelser og uddannelsesinstitutioner, men i høj grad også for private virksomheder - digitale selvbetjeningsløsninger og arbejdsgange håndterer ofte følsomme oplysninger, som CPR-numre, helbredsoplysninger eller sagsakter, i stort omfang og på tværs af mange afdelinger.
Hvilke GDPR-krav skal en digital løsning til arbejdsgange opfylde?
GDPR stiller en række grundlæggende krav til enhver løsning, der behandler personoplysninger:
Dataminimering. Der må kun indsamles de oplysninger, der er nødvendige til det konkrete formål.
Opbevaringsbegrænsning. Oplysninger må ikke opbevares længere end nødvendigt - det kræver automatiske sletteregler, ikke manuel oprydning.
Dokumentation og sporbarhed. Organisationen skal kunne dokumentere, hvem der har tilgået eller ændret data, og hvornår.
Databehandleraftale. Når en leverandør behandler personoplysninger på vegne af en myndighed, skal der være en databehandleraftale, der lever op til GDPR's krav.
Passende sikkerhedsforanstaltninger. Data skal beskyttes mod uautoriseret adgang, tab og misbrug - både teknisk og organisatorisk.
Hvilke faktorer bør I vurdere, når I vælger et værktøj til arbejdsgange med fokus på GDPR? – og sådan gør XFlow det
Er der en uafhængig, tredjeparts-verificeret erklæring om GDPR-overholdelse? Ja, XFlow indhenter årligt en uafhængig ISAE 3000-erklæring, udarbejdet af en uafhængig tredjepart, om overholdelse af GDPR og databehandleraftalen.
Hostes data inden for EU, og er datacentrene certificerede? Ja, hos anerkendte leverandører certificeret til hosting inden for EU/EØS-dataregioner, i ISO-certificerede datacentre.
Slettes data automatisk, når opbevaringsperioden er udløbet? Ja, via automatiske sletteregler I selv fastsætter — uden manuel efterbehandling.
Kan alle handlinger i systemet dokumenteres og spores? Ja, gennem logning af adgang og handlinger samt fuld audittrail. Platformen tjekkes desuden løbende for sårbarheder efter OWASP Top 10, herunder lejlighedsvis brug af ethical hackere.
Er data beskyttet under transport og ved login? Ja, med fuld TLS- og HTTPS-kryptering samt mulighed for login med Multi-Factor Authentication og et segmenteret, krypteret netværk tilkoblet et Security Operation Center via hostingleverandøren.
Er der en gyldig databehandleraftale? Ja, XFlow bruger Datatilsynets standardkontraktbestemmelser som databehandleraftale.
Kan platformen håndtere samtykke som en del af arbejdsgangen, hvor det er relevant? Ja, se digital samtykkehåndtering i XFlow.
Eksempel fra den offentlige sektor
En kommune, der digitaliserer en ansøgningsproces med følsomme oplysninger, fx en ansøgning om et hjælpemiddel med helbredsoplysninger, har brug for en løsning, hvor data automatisk slettes efter den fastsatte opbevaringsperiode, hvor adgang er logget, og hvor der findes en gyldig databehandleraftale. Det er præcis den kombination, XFlow er bygget til at levere, uden at kommunen selv skal bygge kontroller oven på en generisk platform.
Book en uforpligtende demo og se, hvordan XFlow understøtter GDPR og datasikkerhed i praksis.
FAQ
-
Det handler om at sikre, at digitale arbejdsgange og selvbetjeningsløsninger behandler personoplysninger lovligt, sikkert og dokumenterbart, i overensstemmelse med databeskyttelsesforordningen.
-
De vigtigste krav er dataminimering, opbevaringsbegrænsning med automatiske sletteregler, dokumentation og sporbarhed, en gyldig databehandleraftale, og passende tekniske og organisatoriske sikkerhedsforanstaltninger.
-
XFlow indhenter årligt en uafhængig ISAE 3000-erklæring om overholdelse af GDPR og databehandleraftalen. Platformen har automatiske sletteregler, kryptering, adgangsstyring med Multi-Factor Authentication, logning af alle handlinger og hosting i EU.
-
De vigtigste kriterier er en uafhængig, tredjeparts-verificeret erklæring om GDPR-overholdelse, hosting inden for EU, automatiske sletteregler, fuld dokumentation og sporbarhed, en gyldig databehandleraftale, og understøttelse af samtykkehåndtering hvor det er relevant.
-
Data hostes hos anerkendte leverandører, der er certificeret til hosting inden for EU/EØS-dataregioner, i ISO-certificerede datacentre.
Læs mere om GDPR i XFlow. -
Ja. XFlow bruger Datatilsynets standardkontraktbestemmelser som databehandleraftale, hvilket sikrer, at både XFlow og kunden opfylder deres fælles forpligtelse til en gyldig aftale.
Book en uforpligtende demo og se, hvordan XFlow understøtter GDPR og datasikkerhed i praksis.