Case 3

GDPR-dokumentation
og driftskontroller for event- og streamingplatform

Nordisk eventtech-virksomhed med platform til self-service og full-service events (virtuel, hybrid, fysisk)

Udfordring

Virksomheden håndterer persondata ved tilmelding, streaming, Q&A/chat og efterfølgende adgang til optagelser og slides.

Kunderne kræver løbende dokumentation for GDPR-efterlevelse, men dokumentation og processer var spredt, og ledelsen brugte for meget tid på at besvare sikkerheds- og privatlivsspørgsmål.

Tilgang

  • Klarlægning af roller og ansvarsfordeling pr. leverancemodel (self-service vs. managed service): dataansvarlig/databehandler, fælles behandlingsscenarier og kontraktuelle implikationer.
  • Kortlægning af databehandlinger og dataflows (registrering, streaming, optagelser, deling af slides, support) samt krav til sletning/opbevaring.

Dokumentationspakke udarbejdet og kvalitetssikret på dansk:

  • Fortegnelser for egne behandlinger og som databehandler
  • Standard databehandleraftale + bilag (underdatabehandlere, sikkerhed, varslingspligter)
  • Privatlivspolitik, cookiepolitik og TIA/DPIA-skabeloner
  • Slettepolitik og bevaringsplan for optagelser, slides og logdata
  • Incident- og brudshåndteringsprocedure inkl. vurderingsskema
  • Leverandør- og overførselsstyring: underdatabehandlerliste, due diligence, TIAs/SCCs ved eventuelle tredjelands-overførsler, kontraktuelle krav og årlig review.
  • Drift af GDPR-kontroller: kvartalsvis kontroltest, evidensarkiv, årshjul, lederrapportering (KPI/KRI), træning/awareness, DSAR-proces med SLA og playbooks.
  • Kundeunderstøttelse: “Trust-pakke” til due diligence (DPA, TOMs, RoPA-uddrag, slettepolitik, FAQ), svarbank til spørgeskemaer/RFP’er og hands-on support i komplekse kundedialoger.
  • Best practice-alignment: mapping til ISO 27701/27001 for at fremtidssikre mod audits og kundekrav.

Leverancer

  • Fuld GDPR-dokumentationspakke + versioneret kontrolkatalog og årshjul
  • Standard DPA og kontraktbilag til kunder samt underdatabehandlerregister
  • Sletteprocedurer for optagelser, slides og deltagerdata med automatiseret påmindelse
  • DSAR- og incident-playbooks, træningsmateriale og kvartalsvis ledelsesrapport
  • “Trust center”-materiale til hurtig deling med kunder

Resultater

  • Markant mindre ledelsestid brugt på ad hoc-forespørgsler og spørgeskemaer
  • Hurtigere og konsistente svar til kunders due diligence-krav og RFP’er
  • Dokumenterbar efterlevelse og forudsigelig drift af GDPR-kontroller
  • Klar styring af opbevaringsperioder og rettidig sletning af optagelser og slides

Rolle og varighed

Seniorkonsulent på timebasis; 6–8 ugers etableringsforløb efterfulgt af løbende drift (månedligt årshjul og kvartalsvis rapportering).

Vil I have et skalerbart GDPR-setup, så I kan fokusere på jeres kerneforretning? Skriv til anette@c-r-m.dk eller ring +45 22 35 75 50.

Læs mere om andre ydelser

Kontakt os