Gå til indhold
Dansk
Kontakt os
  • Der er ingen forslag, da søgefeltet er tomt.

Sådan vælger du dit GDPR rammeværk

Hvilket GDPR-kontrolrammeværk skal du vælge? 

Når du arbejder med GDPR i ComplyCloud, bør du som udgangspunkt vælge, hvilket kontrolrammeværk der passer til din rolle. Du kan vælge dit rammeværk ved at:  

  1. Gå til Drift & Kontrol > Kontroller
  2. Klik ‘Åbn framework’ på enten kontrolrammen ‘GDPR som dataansvarlig' eller 'GDPR som databehandler (ISAE 3000)'
  3. Klik ‘Aktivér framework’

GDPR som dataansvarlig 

Vælg dette rammeværk, hvis din virksomhed selv bestemmer, hvilke personoplysninger der behandles, og hvorfor. Aktiverer du dette rammeværk oprettes der ca. 40 opgaver på din profil. Rammeværker gælder typisk, når du behandler data om:
  • Dine egne medarbejdere
  • Brugere eller kunder
  • Leads og marketingkontakter
Dette rammeværk hjælper dig med at dokumentere, at du efterlever GDPR som dataansvarlig – og bygger på artiklerne i selve forordningen. Som udgangspunkt skal du altid vælge dette rammeværk medmindre det specifikt er besluttet at I kun bruger ComplyCloud i rollen som databehandler.

GDPR som databehandler (ISAE 3000) 

Vælg dette rammeværk, hvis din organisation behandler personoplysninger på vegne af en anden organisation. Aktiverer du dette rammeværk oprettes der ca. 80 opgaver på din profil. Rammeværket gælder typisk hvis:

  • Du leverer en SaaS-løsning, hvor dine kunder er dataansvarlige
  • Du hoster eller behandler data, der ikke tilhører dig selv

Bemærk: Er du begge dele? Nogle organisationer er både dataansvarlige og databehandler. Du kan heldigvis sagtens bruge begge rammeværk i ComplyCloud. Læse mere om dette forneden. 

Hvad hvis du aktiverer begge GDPR-rammeværk? 

Det er helt normalt, at en virksomhed både er dataansvarlig og databehandler 
Men hvordan fungerer det i praksis? Her er hvad du skal vide: 

  • De to kontrolsæt vises hver for sig i din oversigt, og du kan arbejde med dem uafhængigt af hinanden. 
  • Hvis du vælger at benytte rammeværket GDPR som databehandler (ISAE 3000) kan du med fordel lave en Statement of Applicability (SoA). Læs mere om hvordan du laver din SoA forneden. 

Sådan laver du din SoA til ISAE 3000 (GDPR som databehandler) 

Hvad er en SoA i ISAE 3000-sammenhæng? 

En SoA er et værktøj, der hjælper dig med at prioritere dine opgaver, således at du udelader det arbejde, der ikke er relevant for jer.  
 
I din SoA vurderer du derfor hver kontrol og beslutter: 

  • Er den relevant for vores behandling? 
  • Hvis ikke – kan den fravælges med en saglig begrundelse? 

Hvornår giver det mening at fravælge kontroller? 

Ikke alle kontroller vil være relevante for alle databehandlere – og det er helt forventeligt. SoA’en hjælper dig med at dokumentere det bevidste fravalg, når kontrollen ikke er relevant for den konkrete type tjeneste, du leverer.

Tip: Hvis du eksempelvis ikke har nogen underdatabehandlere, kan hele F-sektionen (kontroller om underdatabehandlere) fravælges. 

Eksempler på kontroller, som ofte fravælges 

Her er eksempler på kontroller i ISAE 3000-rammen, som i nogle tilfælde kan fravælges med begrundelser: 

Kontrol-ID 

Titel i ComplyCloud

Typisk grund til fravalg 

F1–F6 

Anvendelse og kontrol med underdatabehandlere 

Hvis I ikke anvender underdatabehandlere 

G1–G3 

Overførsler til tredjelande 

Hvis al databehandling foregår inden for EU/EØS 

Sådan gør du i ComplyCloud 

  1. Gå til Drift & Kontrol > Kontroller 
  2. Vælg rammeværket “GDPR som databehandler (ISAE 3000)” 
  3. Vurder om kontrollen er relevant for din behandling 
  4. Hvis den ikke er relevant, vælg:  ‘Arkivér som fravalgt kontrol' - og tilføj en kort begrundelse i kommentarfeltet 

Når du har gennemgået rammeværket, vil din SoA automatisk være tilgængelig under ‘Handlinger’ > ‘Fravalgte kontroller’  

En veldokumenteret SoA sparer både dig og revisoren for tid og forvirring. Den gør det tydeligt, hvad din virksomhed har ansvar for – og hvad der med god grund ikke er dækket.