GDPR og datasikkerhed i digitalisering af arbejdsgange

GDPR og datasikkerhed i digitalisering handler om at sikre, at digitale arbejdsgange og selvbetjeningsløsninger behandler personoplysninger lovligt, sikkert og dokumenterbart - i overensstemmelse med databeskyttelsesforordningen. Det gælder både hvordan data indsamles, hvordan de opbevares, og hvem der har adgang til dem undervejs i en arbejdsgang.

‍ ‍

Det gælder for kommuner, regioner, styrelser og uddannelsesinstitutioner, men i høj grad også for private virksomheder - digitale selvbetjeningsløsninger og arbejdsgange håndterer ofte følsomme oplysninger, som CPR-numre, helbredsoplysninger eller sagsakter, i stort omfang og på tværs af mange afdelinger.

‍ ‍

Hvilke GDPR-krav skal en digital løsning til arbejdsgange opfylde?

‍ ‍

GDPR stiller en række grundlæggende krav til enhver løsning, der behandler personoplysninger:

Dataminimering. Der må kun indsamles de oplysninger, der er nødvendige til det konkrete formål.

Opbevaringsbegrænsning. Oplysninger må ikke opbevares længere end nødvendigt - det kræver automatiske sletteregler, ikke manuel oprydning.

Dokumentation og sporbarhed. Organisationen skal kunne dokumentere, hvem der har tilgået eller ændret data, og hvornår.

Databehandleraftale. Når en leverandør behandler personoplysninger på vegne af en myndighed, skal der være en databehandleraftale, der lever op til GDPR's krav.

Passende sikkerhedsforanstaltninger. Data skal beskyttes mod uautoriseret adgang, tab og misbrug - både teknisk og organisatorisk.

‍ ‍

Hvilke faktorer bør I vurdere, når I vælger et værktøj til arbejdsgange med fokus på GDPR? – og sådan gør XFlow det

‍ ‍

  • Er der en uafhængig, tredjeparts-verificeret erklæring om GDPR-overholdelse? Ja, XFlow indhenter årligt en uafhængig ISAE 3000-erklæring, udarbejdet af en uafhængig tredjepart, om overholdelse af GDPR og databehandleraftalen.

  • Hostes data inden for EU, og er datacentrene certificerede? Ja, hos anerkendte leverandører certificeret til hosting inden for EU/EØS-dataregioner, i ISO-certificerede datacentre.

  • Slettes data automatisk, når opbevaringsperioden er udløbet? Ja, via automatiske sletteregler I selv fastsætter — uden manuel efterbehandling.

  • Kan alle handlinger i systemet dokumenteres og spores? Ja, gennem logning af adgang og handlinger samt fuld audittrail. Platformen tjekkes desuden løbende for sårbarheder efter OWASP Top 10, herunder lejlighedsvis brug af ethical hackere.

  • Er data beskyttet under transport og ved login? Ja, med fuld TLS- og HTTPS-kryptering samt mulighed for login med Multi-Factor Authentication og et segmenteret, krypteret netværk tilkoblet et Security Operation Center via hostingleverandøren.

  • Er der en gyldig databehandleraftale? Ja, XFlow bruger Datatilsynets standardkontraktbestemmelser som databehandleraftale.

  • Kan platformen håndtere samtykke som en del af arbejdsgangen, hvor det er relevant? Ja, se digital samtykkehåndtering i XFlow.

‍ ‍

Eksempel fra den offentlige sektor

En kommune, der digitaliserer en ansøgningsproces med følsomme oplysninger, fx en ansøgning om et hjælpemiddel med helbredsoplysninger, har brug for en løsning, hvor data automatisk slettes efter den fastsatte opbevaringsperiode, hvor adgang er logget, og hvor der findes en gyldig databehandleraftale. Det er præcis den kombination, XFlow er bygget til at levere, uden at kommunen selv skal bygge kontroller oven på en generisk platform.

‍ ‍

Book en uforpligtende demo og se, hvordan XFlow understøtter GDPR og datasikkerhed i praksis.

 

FAQ

Forrige
Forrige

Digital samtykkehåndtering i XFlow: sådan fungerer det

Næste
Næste

Vælg den rigtige løsning til digitale KL-blanketter