GDPR & kontraktstyring
Sådan sikrer du databeskyttelse og overholdelse af persondataregler
Vi har et naturligt stort fokus på databeskyttelse og overholdelse af persondataregler, selv inden loven vedrørende persondataforordningen (GDPR) trådte i kraft 25. maj 2018 var COMAsystem udviklet med sigte på ”Privacy by Design”. Så data placeret hos os er grundlæggende beskyttet gennem vores teknologisk design, altså den teknologipakke løsningen er bygget op på.
Baggrunden for lovgivning er, som bekendt, udfærdiget for at øge fokus på anvendelse af persondata ved at stille krav til virksomheder og organisationer om hvor, hvordan og hvorfor de benytter persondata – ligesom der tages stilling til hvor og hvordan data opbevares, deles og slettes.
Virksomhedsdrift bliver ikke mindre digital, ligesom mængden af data heller ikke gør – og derfor tager vi her udgangspunkt i de hovedområder I skal være opmærksomme på for at i kan sikre jeres personfølsomme data i forbindelse med jeres kontraktstyring.
Tredjelandsoverførsler og databehandleraftaler
Udtrykket tredjelandsoverførsler referer til hvis I som organisation deler personhenførbare data med eksterne tredjeparter uden for EU/EØS-området, dette kan bl.a. være leverandører, serviceudbydere, samarbejdspartnere og datterselskaber.
At udveksle data med sine leverandører, serviceudbydere, samarbejdspartnere og datterselskaber kan være nødvendigt, især når flere og flere software-løsninger flyttes op i skyen (Software As A Service) – som eksempel med kontraktstyring.
“Det er jeres forpligtigelse som dataansvarlige”
Her skal I være særligt opmærksomme på, for at overholde GDPR-kravene, at hvis der behandles personhenførbart data betroet til jer – skal de som databehandler af for eksempel jeres kunders og medarbejderes persondata, oplyse om hvilke data der behandles, hvordan data opbevares og formålet med denne databehandling i den databehandleraftale (DPA, Data Protection Agreement) der indgås mellem dem og jer.
Det er jeres forpligtigelse som dataansvarlige at sikre jer, at data betroet til jer behandles under de samme forudsætninger som I har modtaget dem – derfor skal som minimum tage stilling til følgende:
Hvor opbevares data?
Er den opbevaret inden for EU/EØS på udstyr kontrolleret af leverandøren?
Hvad er slettepolitikken?
Slettes data når den slettes hos jer og når samarbejdet ophører?
Benytter de underleverandører?
Foretager de tredjelandsoverførsler i den løsning de tilbyder jer?
En procedure ved sikkerhedsbrud?
Er det beskrevet hvordan dette håndteres?
”Leverandøren skal kunne stille med en ISAE 3000 Type II erklæring. Dette er normalt en god indikator om hvordan leverandøren arbejder både med IT-sikkerhed og GDPR”
Christian Richter-Pedersen
CEO & DPO, COMAsystem
Disse punkter bør alle fremgå af databehandleraftalen – I kan se den databehandleraftale der danner grundlaget for den behandling af data vi foretager på vegne af vores kunder her, den er udfærdiget på baggrund af Datatilsynets skabelon.
Sikre jer at leverandøren har en ISAE 3000 Type II erklæring, dette er den specifikke erklæringstype der blandt andet gælder i forhold til databeskyttelsesforordningen og databeskyttelsesloven (GDPR) – den skal ses som en ramme for kontrolmål og kontrolaktiviteter der for eksempel vedrører hvilke sikkerhedsforanstaltninger og -processer en databehandler har opsat, og hvordan de fungerer.
Automatisk sletning af personfølsomme data
I må ikke opbevare personfølsomme data for evigt, men så længe der er en aktiv relation mellem jer eller lovgivningen har fastsat et krav om opbevaring, må I gerne opbevare denne data.
Ifølge bogføringsloven skal regnskabsmæssigmateriale opbevares i 5 år – men hvad med de kontrakter og aftaler du løbende indgår med leverandører og kunder, der alle danner grundlag for jeres fakturaer, kreditnotaer og bilag?
I persondataforordningen er der ikke fastsat en fast ramme for hvor længe I må opbevare personfølsomme data – derfor skal I definere hvor længe hvor længe efter endt samarbejder, at I stadig betragter jeres relation som aktiv.
“Send printeren, skanneren og kuglepennen på pension”
For eksempel, I har indgået en treårig aftale med en kunde der ikke bliver fornyet og samarbejdet ophører, men I kan se på jeres historiske kundedata, at en vis mængde vender tilbage efter fire år– derfor kan I argumentere for opbevaring af kundedata indeholdende persondata i op til syv år.
Når I anvender kontraktstyring, er det derfor vigtigt at holde styr på jeres slettepolitikker, da perioderne for dataopbevaring kan variere fra købs-, salgs- og personalekontrakter.
I vores dedikerede kontraktstyringssystem følger vi som standard bogføringslovens fem år, men det er jer som brugere at definere jeres standard slettefrister på købs-, salgs- og personalekontrakter eller sætte en helt individuel slettedato på den enkelte kontrakt – så det er i overensstemmelse med det i har oplyst til jeres kunder, leverandører og partnere.
”De data vi opbevarer på vegne på af vores kunder, er altid kundernes data – det er kunden som bestemmer over opbevaringens længde og eventuel sletning”
Christian Richter-Pedersen
CEO & DPO, COMAsystem
Centralisering og digitale underskrifter
Når i opbevar jeres kontrakter i et kontraktstyringssystem, så I kan centralisere jeres processer omkring kontrakthåndtering, opbevaringen af kontrakternes data og deres tilknyttede dokumenter.
Ved central opbevaring og styring, kombineret med brugerstyring, kan den enkelte kontraktansvarlige overvåge og reagere på hændelser vedrørende de enkelte kontrakter når dette påkræves. Det kunne være ændring af kontraktstatus fra tilbud til godkendt og i drift eller opsagt, når de kontraktlige forhold afsluttes.
“Tag ét skridt ad gangen”
Send printeren, skanneren og kuglepennen på pension og underskriv jeres kontakter digitalt, så hele processen foregår elektronisk og bliver logget på den pågældende aftale – således er det muligt at sikre sig, at underskriveren bliver valideret for eksempel via MitID.
Vælger I kontraktstyring fra COMAsystem kan I afsende dokumenter til digital underskrivning af en eller flere parter, således modtager alle den endelige aftale med anførte e-signaturer og dokumenterne gemmes automatisk på den kontrakt de er tilknyttet.
”Et kontraktstyringssystem muliggør en ensartet opbevaring og ajourføring af kontraktdata, så den ikke sendes rundt via e-mail og persondata flyder ukontrolleret i organisationen”
Christian Richter-Pedersen
CEO & DPO, COMAsystem
Få styr på processerne
Det er vores erfaring at virksomheder og organisationer gerne vil have kontrol over deres behandling af persondata – hvor i processen man er i forhold til kortlægning og opsatte procedurer, afhænger oftest af resurser.
Ét af de steder mange allerede er 100% digitaliseret, er i deres bogholderi – der er fastsatte procedurer for godkendelse af fakturaer og regnskabssystemet gemmer alle relevante fakturaer, kreditnotaer og bilag i overensstemmelse med bogføringsloven.
Nu mangler i ”bare” resten, de korrespondancer, kontrakter og aftaler der ligger bag de ind- og udgående regnskabsbilag – dette kan virke uoverskueligt. Vores anbefaling er, at I gør ligesom hvis I skulle bestige Mount Everest – tag ét skridt ad gangen.
Med forberedelse og det rette udstyr kommer man i mål, både sikkert og hurtigere og netop derfor har vi udviklet COMAsystem – et brugervenligt og intuitivt kontraktstyringssystem der ikke dræner jeres organisation for resurser. Vi understøtter jer i hele onboarding processen og strukturer løsningen så den matcher jeres arbejdsgange.
Tag det første skridt – book en online demonstration og hør hvordan vi kan sikre jeres kontraktdata og overholdelsen af persondatareglerne.
