AKKREDITERING OG PERSONDATAFORORDNINGEN

GDPR – EU forordning 679:2016 har som et af hovedprincipperne, at virksomheder kun må indsamle oplysninger, når det er nødvendigt.

DANAK har vurderet, at det ikke er nødvendigt, at DANAK indsamler og behandler persondata, der er dokumentation for de akkrediterede virksomheders opfyldelse af kravgrundlaget.

DANAK skal have adgang til at bedømme et repræsentativt antal medarbejdere for at kunne vurdere ansøgerens kompetence inden for det ansøgte akkrediteringsområde. Denne bedømmelse vil væsentligst finde sted ved besøg på virksomhedens lokaliteter.

Ved besøg hos kunder gennemgår og registrerer DANAK kundens almindelige persondata i form af beskrivelse af kompetencer og kvalifikationer. DANAK hjemtager ikke disse persondata fra kunden, og DANAKs registreringer i noter, afvigelser og besøgsrapport, skal være entydige men skrevet så de ikke refererer persondata ud over navn eller anden identifikation, funktion og DANAKs vurdering af opfyldelsen af kravelementerne.

Såfremt virksomheden i forbindelse med ansøgninger eller dokumentation af korrigerende handlinger fremsender dokumentation for medarbejderes kompetence, skal denne ikke indeholde CPR numre eller særlige kategorier af personoplysninger som fagforeningsmæssige tilhørsforhold eller helbredsoplysninger. DANAK sletter tilsendt dokumentation indeholdende persondata efter bedømmelsen.

Ved anvendelse af et elektronisk ledelsessystem skal DANAK have adgang til alle relevante dele af ledelsessystemet eller til en kopi heraf med en funktionalitet, der muliggør en fyldestgørende bedømmelse. DANAK har ikke behov for generel adgang til virksomhedens registreringer, herunder registrerede persondata, og adgangen hertil bør være afskåret. DANAK vil ikke udtage persondata fra virksomhedens registreringer.

Ved indgåelse af kontrakt med kunder indsamles kontaktoplysninger på virksomhedens kontaktperson i form af navn, arbejdsmail og -telefonnummer. Disse offentliggøres på DANAK’s hjemmeside. Kunden informeres herom i kontrakten. Oplysningerne fjernes når kontrakt afsluttes.

Rapporter, korrespondance, afvigelsesbehandling og anden information om kunderne opbevares på DANAKs server, hvor kun interne medarbejdere har adgang. Afvigelsesbehandlingen, rapporter og kommunikation med kunderne ligger desuden på kundeportalen, hvor interne og eksterne medarbejdere tilknyttet til sagen og kunden har adgang.

DANAK har en databehandleraftale med en dansk IT-virksomhed, der sikrer at DANAKs data er lagret på hostingcentre i Danmark og sikrer den nødvendige beskyttelse og backup. Sikkerheden hos databehandleren og hostingcentrene bedømmes årligt af Deloitte i en ISAE 3402 type 2 revisorerklæring.

Der tages backup af mailbokse og alle fællesdrev. Backup behandles fortroligt og anvendes kun, hvis der er mistet data i hovedsystemerne eller hvis der er mistanke om misbrug.

DANAK sender ikke persondata til andre, herunder tredjelande eller internationale organisationer, ud over det tidligere nævnte.

DANAK anmelder brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse, og om muligt senest 72 timer efter at DANAK er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

DANAK underretter den/de registrerede om brud på persondatasikkerheden, hvis et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

DANAK gennemfører en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder og hører tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.