GDPR og din virksomhed i byggebranchen

Persondata og GDPR

Styr på persondata i byggebranchen

Med EU’s skærpede persondataforordning GDPR (Genereal Data Protection Regulation) skal der være styr på persondata, og det gælder også indenfor byggebranchen.

Grundprincipperne i GDPR

Der er seks grundprincipper, som består af:

  1. Lovlighed, rimelighed og gennemsigtighed
  2. Formålsbegrænsning
  3. Dataminimering
  4. Rigtighed
  5. Opbevaringsbegrænsning
  6. Integritet og fortrolighed

Ovenstående principper kan man læse mere i detaljer omkring inde på Erhvervsstyrelsens og EU Kommisionens hjemmesider.

Krav om at forholde sig til persondata

GDPR betyder, at større virksomheder indenfor byggebranchen, men også enkeltmandsfirmaer skal forholde sig til de persondata, virksomheden har adgang til. Det kan for eksempel være en ansøgning, hvor der står navn og adresse på, og det kan være et arbejdskort med en adresse og et telefonnummer. Her skal man i virksomheden forholde sig til disse persondata. Hvem har adgang til dem? Hvem kan søge disse informationer? Hvad har vi af oplysninger på vores kunder? 

Tungt for både store og små virksomheder

Arbejdet med at administrere alt det, persondataforordningen kræver, kan være tungt. Dette gælder både for store og små virksomheder, omend der kan være forskel på de udfordringer, man står overfor.

– de mindre virksomheder:

For de små firmaer er arbejdet tidskrævende at komme igennem, fordi der mangler hænder til at eksekvere opgaverne.

Der er måske tale om et enkeltmandsfirma, der blot består af murermesteren selv. Her bruger mester i forvejen relativt meget af sin tid på administration i forhold til det egentlige arbejde, han/hun udfører. Det, at beskrive procedurer, som man allerede ved, man kun selv får brug for, kan virke som tidsspilde, hvilket kan føre til, at det ikke bliver opprioriteret. 

– de større virksomheder:

I den store virksomhed har man sandsynligvis mere personale og flere redskaber til hjælp. Den store virksomheds største udfordring ligger snarere i at få dannet sig det komplette overblik. Følger alle medarbejdere med samme rolle i virksomheden samme arbejdsprocesser, som de er beskrevet?

Se også hvad GDPR betyder for byggeriet i denne video.

Nye procedurer for medarbejderne

Det er ikke tilstrækkeligt, at alle ansatte læser persondataforordningen. Virksomheden skal kortlægge sine persondata, og der skal indføres procedurer, som gør, at virksomheden kan påvise sin ansvarlighed, og at de ansatte alle ved, hvordan de skal forholde sig. Og dette system skal så løbende ajourføres og de ansatte informeres, når der kommer opdateringer.

Det er mennesker

Der, hvor det kan blive problematisk, er der, hvor den enkelte medarbejders selvdisciplin bliver sat på prøve. Når der bliver indført nye arbejdsprocedurer, skal der flyttes vaner, og det projekt kan nogle gange være vanskeligt at komme i mål med. Mennesker er vanemennesker, og det tager tid at vænne sig til nye processer. Selvom man som medarbejder godt kan se formålet med, hvorfor tingene fra nu af skal gøres på den pågældende måde, er det ikke sikkert, at man husker at gøre det som beskrevet hver gang.

Udpeg en dataansvarlig

Der skal udpeges en dataansvarlig i virksomheden. Denne person er overordnet ansvarlig for at beslutte, hvad formålet med databehandlingen er og hvilke metoder, der skal anvendes til formålet. Men alle medarbejdere hver især har naturligvis et medansvar for at overholde de gældende regler. På bedstepraksisibyggeriet, kan du se hvordan de har valgt en dataansvarligog fordelt GDPR-arbejdet, som et firma inden for byggebranchen.

Følg op med jævne mellemrum

Når man er på plads i virksomheden med at have fået udpeget en dataansvarlig, har fået alle persondata kortlagt og de nye procedurer er indført, så får man efterfølgende brug for noget opsamling på det hele. Hvad skete der med den ansøgning, virksomheden modtog for et halvt år siden? Ligger denne stadig et sted som fil, eller blev den printet ud og ligger nu i en brevbakke eller begge dele? 

Har indførelsen af nye arbejdsprocesser medført nye arbejdsvaner? Hvis ikke skal man have fundet ud af, hvordan man i praksis får gjort de nye procedurer til en fast bestanddel af dagligdagen. Skal der være lettere adgang til en makulator? Findes der nogle IT-redskaber, som kunne hjælpe?

Hjælpemidler til hverdagsbrug

Det er muligt, der skal investeres i nogle nye metoder til at håndtere opgaverne. Hvis man har papirer, som skal makuleres efter brug, og makulatoren er placeret i en anden bygning, kan det være, at medarbejderne samler papirerne sammen for at slippe for at skulle gå hver gang. Ved at indkøbe en ekstra makulator bliver det mere realistisk at få makuleret papirerne efterhånden, som behovet opstår, så der ikke bliver opbevaret persondata unødigt.

Hvis der er tale om elektroniske dokumenter, som skal slettes efter brug, kan det være en god ide, at systemet sættes op til at slette dokumenter efter alder. Det kan for eksempel være, at tømrermesteren har modtaget en e-mail med en ansøgning, der nu ligger gemt på et drev på computeren. Når ansøgningen så har ligget opbevaret i et bestemt tidsrum og ikke længere er aktuel, slettes den automatisk. Dette vil formentligt kunne klares ved hjælp af rpa-teknologi også kendt som en kontorrobot. Således er det ikke længere op til hver enkelt medarbejders datadisciplin at huske at få udført opgaverne, men en del af en automatiseret arbejdsprocess. 

Et andet eksempel kunne være, når tømrersvenden er ude på job. Her har han en arbejdsseddel med, som måske ligger i varevognen, hvor folk kan se den udefra. Dette manuelle system kunne afløses af et mere nutidigt, hvor tømrersvenden får sine informationer via en app på telefonen, som viser det samme som arbejdssedlen. Og når arbejdet er udført, skal han/hun ikke huske at gøre noget bestemt ved arbejdssedlen, for oplysningerne på telefonen slettes automatisk. 

Ligeledes er det vigtigt, at IT-afdelingen sørger for, at hver medarbejder har adgang til netop de oplysninger, den enkelte har brug for. Den afgrænsning gør, at ingen ved et uheld kommer til at tilgå informationer, som de ikke skulle have haft adgang til.

Test på erhvervsstyrelsens hjemmeside

Hvis det er svært at danne sig et overblik over hele situationen i virksomheden, kan man gå ind på Erhvervsstyrelsens hjemmeside og tage en test. Denne test giver en status på, hvordan situationen ser ud p.t., og hvad der skal gøres for at komme i mål.

Mulige sanktioner

Hvis lovgivningen ikke overholdes, kan der udstedes bøder i størrelsesorden op til 4% af virksomhedens samlede globale årlige omsætning.