Compliance-ordbog

Korte, klare forklaringer på begreberne i arbejdsmiljø-, whistleblower- og GDPR-arbejdet.

48-timers reglen

Reglen i arbejdstidsloven om, at en medarbejders gennemsnitlige ugentlige arbejdstid ikke må overstige 48 timer inklusive overarbejde, målt over en periode på 4 måneder. Reglen stammer fra EU's arbejdstidsdirektiv og gælder for stort set alle lønmodtagere. Overtrædelse kan udløse godtgørelse til medarbejderen, og siden 2024 skal arbejdsgivere kunne dokumentere overholdelsen via tidsregistrering. Enkelte overenskomster tillader under særlige betingelser en højere grænse for udvalgte grupper.

72-timers reglen

Fristen i GDPR's artikel 33 for at anmelde et databrud til Datatilsynet: uden unødig forsinkelse og om muligt senest 72 timer efter, at virksomheden er blevet bekendt med bruddet. Fristen løber også i weekender og på helligdage. Overskrides den, skal forsinkelsen begrundes i anmeldelsen. Har virksomheden ikke alle oplysninger inden for fristen, kan anmeldelsen ske trinvist — det vigtige er at anmelde det, man ved, til tiden.

AES (avanceret elektronisk signatur)

Det mellemste signaturniveau i eIDAS artikel 26. En avanceret elektronisk signatur skal være entydigt knyttet til underskriveren, kunne identificere vedkommende, være fremstillet med midler under underskriverens enekontrol og være forbundet med dokumentet, så enhver efterfølgende ændring kan opdages. I praksis opfyldes kravene ofte ved at kombinere identifikation (fx MitID) med kryptografisk forsegling af dokumentet. AES giver væsentligt stærkere bevisværdi end en simpel signatur og er standardvalget til fx ansættelseskontrakter og databehandleraftaler.

AMO (arbejdsmiljøorganisation)

Det formelle samarbejde om arbejdsmiljø mellem ledelse og medarbejdere, som er lovpligtigt i virksomheder med 10 eller flere ansatte. AMO består af en eller flere arbejdsmiljøgrupper med en valgt arbejdsmiljørepræsentant og en udpeget arbejdsleder. Medlemmerne skal gennemføre den lovpligtige arbejdsmiljøuddannelse på 3 dage inden for 3 måneder efter valget. I virksomheder med under 10 ansatte skal arbejdsmiljøarbejdet i stedet foregå i direkte samarbejde mellem arbejdsgiver og ansatte.

APV (arbejdspladsvurdering)

Lovpligtig vurdering af arbejdsmiljøet, som alle virksomheder med ansatte skal gennemføre mindst hvert 3. år — og ved væsentlige ændringer i arbejdet. APV'en består af fire trin: kortlægning af arbejdsmiljøet, vurdering af problemerne, en skriftlig handlingsplan og opfølgning. Kravet står i arbejdsmiljølovens §15a, og Arbejdstilsynet kan bede om at se APV'en ved tilsyn. Metoden er fri, men resultatet skal være skriftligt og tilgængeligt for medarbejderne.

Arbejdstilsynet

Den danske myndighed, der fører tilsyn med, at virksomheder overholder arbejdsmiljøloven. Arbejdstilsynet gennemfører både anmeldte og uanmeldte tilsynsbesøg og kan afgive påbud, strakspåbud og forbud samt indstille til bøde. Ved tilsyn spørger de typisk efter APV, den årlige arbejdsmiljødrøftelse og dokumentation for arbejdsmiljøorganisationen. Virksomheder med orden i den skriftlige dokumentation kommer langt lettere gennem et tilsynsbesøg.

Arbejdsulykke

En pludselig hændelse i forbindelse med arbejdet, der medfører personskade — fx et fald, en klemskade eller en akut overbelastning. Arbejdsgiveren har pligt til at anmelde ulykken digitalt i EASY, hvis den medfører fravær ud over tilskadekomstdagen, og anmeldelsen skal ske senest 14 dage efter første fraværsdag. Ulykker, der kan give ret til erstatning efter arbejdsskadeloven, skal også anmeldes. Manglende anmeldelse kan straffes med bøde, og ulykker bør altid følges op med forebyggelse i APV'en.

Årlig arbejdsmiljødrøftelse

Et lovpligtigt møde, som alle virksomheder med ansatte skal holde mindst én gang om året, hvor ledelse og medarbejdere gør status på arbejdsmiljøet. Drøftelsen skal se tilbage på det seneste år, fastlægge mål og indsatser for det kommende år og vurdere, om samarbejdet om arbejdsmiljø fungerer. Virksomheder uden AMO skal kunne dokumentere skriftligt over for Arbejdstilsynet, at drøftelsen har fundet sted. Den årlige drøftelse hænger naturligt sammen med opfølgningen på APV'en.

Artikel 30-fortegnelse

Den fortegnelse over behandlingsaktiviteter, som GDPR's artikel 30 kræver, at dataansvarlige og databehandlere fører. Fortegnelsen skal bl.a. beskrive formålene med behandlingen, kategorier af registrerede og oplysninger, modtagere, eventuelle tredjelandsoverførsler, slettefrister og sikkerhedsforanstaltninger. Den skal være skriftlig, holdes opdateret og kunne udleveres til Datatilsynet på forlangende. Undtagelsen for virksomheder under 250 ansatte er snæver, så i praksis bør stort set alle virksomheder have en fortegnelse.

Audit-log

En kronologisk, uforanderlig registrering af hændelser i et system: hvem gjorde hvad, hvornår og fra hvilken adresse. I en signaturproces dokumenterer audit-loggen fx, hvornår dokumentet blev sendt, åbnet og underskrevet, og hvordan underskriveren blev identificeret. Loggen er central for bevisværdien af elektroniske signaturer og for at kunne dokumentere GDPR-efterlevelse, fx hvem der har haft adgang til følsomme sager. En god audit-log kan ikke redigeres i bagefter og opbevares adskilt fra de data, den beskriver.

Compliance-årshjul

En årsplan, der fordeler virksomhedens tilbagevendende compliance-opgaver hen over kalenderåret, så intet glemmes eller klumper sig sammen. Typiske punkter er den årlige arbejdsmiljødrøftelse, opfølgning på APV-handlingsplanen, gennemgang af artikel 30-fortegnelsen og slettefrister, test af beredskabet ved databrud, revision af databehandleraftaler og opdatering af personalehåndbogen. Årshjulet gør compliance til en løbende rutine med klare ansvarlige og frister i stedet for en årlig brandøvelse. Det er samtidig god dokumentation over for tilsynsmyndigheder for, at virksomheden arbejder systematisk.

Dataansvarlig

Den virksomhed, myndighed eller person, der afgør, til hvilke formål og med hvilke hjælpemidler personoplysninger behandles. Den dataansvarlige bærer hovedansvaret for GDPR-efterlevelsen: lovligt grundlag, oplysningspligt, sikkerhed, dokumentation og de registreredes rettigheder. En arbejdsgiver er fx dataansvarlig for medarbejdernes personaleoplysninger. Bruger den dataansvarlige leverandører til behandlingen, skal der indgås databehandleraftaler med dem.

Databehandler

En virksomhed eller person, der behandler personoplysninger på vegne af en dataansvarlig og efter dennes instruks — fx en cloud-leverandør, et lønbureau eller et HR-system. Databehandleren må ikke bruge oplysningerne til egne formål og skal leve op til GDPR's krav om sikkerhed og fortrolighed. Forholdet skal reguleres i en skriftlig databehandleraftale. Bruger databehandleren selv underleverandører (underdatabehandlere), kræver det den dataansvarliges godkendelse.

Databehandleraftale (DPA)

Den skriftlige aftale, som GDPR's artikel 28 kræver mellem en dataansvarlig og en databehandler. Aftalen skal bl.a. fastlægge behandlingens genstand og varighed, typen af oplysninger, databehandlerens pligter, sikkerhedskrav, regler for underdatabehandlere og bistand ved databrud og indsigtsbegæringer. Uden en gyldig databehandleraftale er det ulovligt at lade en leverandør behandle personoplysninger for virksomheden. Datatilsynet har udgivet en standardskabelon, som mange SMV'er tager udgangspunkt i.

Databrud (brud på persondatasikkerheden)

En sikkerhedshændelse, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret adgang til personoplysninger — fx en mail sendt til forkert modtager, en mistet bærbar eller et hackerangreb. Databrud skal som udgangspunkt anmeldes til Datatilsynet inden 72 timer, medmindre bruddet næppe indebærer en risiko for de registrerede. Ved høj risiko skal de berørte personer også underrettes. Alle databrud — også dem der ikke anmeldes — skal dokumenteres i en intern fortegnelse.

Datatilsynet

Den danske tilsynsmyndighed for databeskyttelse, som fører tilsyn med, at GDPR og databeskyttelsesloven overholdes. Datatilsynet behandler klager fra borgere, gennemfører tilsyn hos virksomheder og myndigheder, modtager anmeldelser af databrud og udgiver vejledninger og skabeloner. Tilsynet kan udtale kritik, give påbud og indstille til bøde — i Danmark udmåles GDPR-bøder som udgangspunkt af domstolene efter politianmeldelse. Datatilsynets vejledninger er et godt sted at starte, når en SMV skal indrette sin GDPR-dokumentation.

De registreredes rettigheder

De rettigheder, GDPR giver personer, hvis oplysninger behandles: ret til information, indsigt, berigtigelse, sletning (retten til at blive glemt), begrænsning af behandling, dataportabilitet og indsigelse — samt beskyttelse mod rent automatiske afgørelser med væsentlig betydning. Virksomheden skal have procedurer, så anmodninger besvares inden for en måned. Rettighederne er ikke absolutte; fx kan sletning afvises, hvis oplysningerne skal opbevares efter bogføringsloven. Manglende håndtering af rettigheder er en af de hyppigste årsager til klager til Datatilsynet.

DPIA (konsekvensanalyse)

En konsekvensanalyse vedrørende databeskyttelse, som GDPR's artikel 35 kræver, når en behandling sandsynligvis indebærer høj risiko for de registrerede — fx systematisk overvågning, omfattende behandling af følsomme oplysninger eller ny teknologi som ansigtsgenkendelse. Analysen skal beskrive behandlingen, vurdere nødvendighed og proportionalitet, kortlægge risici og fastlægge afhjælpende foranstaltninger. Kan risikoen ikke bringes ned, skal Datatilsynet høres, før behandlingen går i gang. Datatilsynet har offentliggjort en liste over behandlinger, der altid kræver en DPIA.

EASY

Det digitale system, som arbejdsgivere skal bruge til at anmelde arbejdsulykker til Arbejdstilsynet og Arbejdsmarkedets Erhvervssikring. EASY tilgås via Virk.dk med virksomhedens MitID Erhverv, og én anmeldelse sendes automatisk til de rette myndigheder og eventuelt forsikringsselskabet. Anmeldelse i EASY er obligatorisk — papirblanketter accepteres ikke. Det er en god idé at registrere ulykkens fakta internt med det samme, så EASY-anmeldelsen kan udfyldes korrekt inden for fristen.

eIDAS

EU-forordningen om elektronisk identifikation og tillidstjenester (910/2014), der skaber fælles regler for elektroniske signaturer, segl og tidsstempler i hele EU. eIDAS definerer tre niveauer af elektroniske signaturer — simpel (SES), avanceret (AES) og kvalificeret (QES) — og fastslår, at en signatur ikke kan afvises som bevis, alene fordi den er elektronisk. Forordningen er opdateret med eIDAS 2.0, der bl.a. indfører en europæisk digital identitetstegnebog. For SMV'er betyder eIDAS, at dokumenter som ansættelseskontrakter kan underskrives gyldigt digitalt.

Følsomme oplysninger

De særlige kategorier af personoplysninger i GDPR's artikel 9: race og etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsforhold, genetiske og biometriske data, helbredsoplysninger samt oplysninger om seksuelle forhold og seksuel orientering. Behandling er som udgangspunkt forbudt og kræver en særlig undtagelse, fx udtrykkeligt samtykke eller nødvendighed efter arbejdsretten. Følsomme oplysninger kræver skærpet sikkerhed, og CPR-numre og oplysninger om straffedomme behandles efter egne, særlige regler i dansk ret. Mange HR- og whistleblowersager indeholder følsomme oplysninger og skal derfor beskyttes ekstra godt.

GDPR (databeskyttelsesforordningen)

EU's forordning om beskyttelse af personoplysninger, som har været gældende siden 25. maj 2018 og suppleres af den danske databeskyttelseslov. GDPR stiller krav til, hvordan virksomheder indsamler, bruger, opbevarer og sletter personoplysninger, og giver de registrerede en række rettigheder. Virksomheder skal kunne dokumentere deres efterlevelse — det såkaldte ansvarlighedsprincip. Overtrædelser kan straffes med bøder på op til 20 mio. euro eller 4 % af den globale årsomsætning.

Handlingsplan

Den skriftlige plan i APV'en, der beskriver, hvordan virksomheden vil løse de arbejdsmiljøproblemer, som kortlægningen har afdækket. For hvert problem skal planen angive, hvad der skal gøres, hvem der er ansvarlig, og hvornår det skal være løst. Handlingsplanen er et lovkrav — en APV uden handlingsplan er ikke komplet. Der skal desuden følges op, så virksomheden kan dokumentere, at tiltagene faktisk er gennemført og virker.

Indsigtsbegæring (DSAR)

En anmodning fra en person om at få at vide, hvilke personoplysninger virksomheden behandler om vedkommende — en ret efter GDPR's artikel 15. Virksomheden skal bl.a. oplyse formål, kategorier af oplysninger, modtagere og opbevaringsperiode og udlevere en kopi af oplysningerne. Svaret skal gives uden unødig forsinkelse og senest en måned efter modtagelsen; fristen kan forlænges med to måneder ved komplekse anmodninger. Svaret er som udgangspunkt gratis for den registrerede.

ISO 27001

Den internationale standard for ledelsessystemer for informationssikkerhed (ISMS). Standarden kræver, at organisationen systematisk identificerer sine informationssikkerhedsrisici og styrer dem gennem politikker, kontroller og løbende forbedring; kontrolkataloget findes i bilag A og uddybes i ISO 27002. Certificering sker gennem et akkrediteret certificeringsorgan og er frivillig, men efterspørges i stigende grad af kunder og i udbud. For SMV'er er ISO 27001 ofte overdimensioneret som certificering, men principperne — risikovurdering, adgangsstyring, logning og beredskab — er et godt forbillede for sikkerhedsarbejdet.

Kemisk APV (kemisk risikovurdering)

En særlig risikovurdering, som virksomheder skal lave, når medarbejdere arbejder med eller kan blive udsat for farlige kemiske stoffer og materialer. Den kemiske APV afløste i 2019 kravet om arbejdspladsbrugsanvisninger og skal bl.a. beskrive stoffernes farlighed, eksponeringen, forebyggende tiltag og krav til oplæring. Vurderingen skal være skriftlig og holdes ajour, og medarbejderne skal instrueres i resultatet. Leverandørens sikkerhedsdatablade er et vigtigt grundlag for arbejdet.

Legitim interesse

Et lovligt behandlingsgrundlag efter GDPR's artikel 6, stk. 1, litra f, hvor virksomheden kan behandle almindelige personoplysninger, hvis dens legitime interesser vejer tungere end den registreredes interesser og rettigheder. Grundlaget kræver en dokumenteret afvejning — en såkaldt interesseafvejningstest — og at behandlingen er nødvendig for formålet. Typiske eksempler er direkte markedsføring til eksisterende kunder, IT-sikkerhed og intern administration. Den registrerede har altid ret til at gøre indsigelse mod behandling baseret på legitim interesse.

MitID

Danmarks nationale digitale ID, der afløste NemID og bruges til at logge ind hos det offentlige, banker og private tjenester. MitID er anmeldt under eIDAS og kan bruges til at identificere underskriveren i en elektronisk signaturproces, hvilket løfter signaturen til avanceret niveau (AES). Virksomheder bruger MitID Erhverv til at handle på virksomhedens vegne, fx i EASY og på Virk.dk. Ved dokumentunderskrift dokumenterer et MitID-login med høj sikkerhed, hvem der har skrevet under.

Nærved-hændelse

En hændelse, der kunne have ført til en arbejdsulykke, men hvor ingen kom til skade — fx et redskab der falder ned ved siden af en medarbejder, eller et glid der lige akkurat ikke ender i et fald. Nærved-hændelser skal ikke anmeldes til myndighederne, men de er et af de vigtigste redskaber til forebyggelse. Ved systematisk at registrere og analysere dem kan virksomheden fjerne risici, før de forårsager en rigtig ulykke. Mønstre i nærved-hændelser bør indgå i APV-arbejdet.

NIS2

EU's direktiv om cybersikkerhed (2022/2555), der skærper kravene til sikkerhed i net- og informationssystemer for væsentlige og vigtige enheder i en lang række sektorer — fx energi, transport, sundhed, digital infrastruktur og fødevarer. Omfattede virksomheder skal indføre risikostyring, håndtere leverandørsikkerhed, rapportere væsentlige hændelser til myndighederne og kan pålægges betydelige bøder ved manglende efterlevelse; ledelsen kan holdes personligt ansvarlig. NIS2 gælder typisk for mellemstore og store virksomheder i de omfattede sektorer, men rammer også mindre leverandører indirekte via kundernes krav. I Danmark er direktivet gennemført ved lov med virkning fra 1. juli 2025.

Onboarding-dokumentation

De dokumenter, en ny medarbejder skal have og underskrive ved ansættelsens start. Vigtigst er ansættelseskontrakten: Efter ansættelsesbevisloven fra 2023 skal de væsentligste vilkår gives skriftligt senest 7 kalenderdage efter første arbejdsdag og resten inden en måned. Dertil kommer typisk tavshedserklæring, IT- og databeskyttelsespolitik, udlevering af udstyr, kvittering for personalehåndbogen og oplysningspligt efter GDPR om behandling af medarbejderdata. Digital underskrift med audit-log gør det let at bevise, at alt er udleveret og accepteret til tiden.

Personalehåndbog

Virksomhedens samlede beskrivelse af regler, politikker og praktiske forhold for medarbejderne — fx arbejdstid, sygemelding, ferie, IT- og databeskyttelsespolitik, rusmiddelpolitik og retningslinjer mod krænkende adfærd. Håndbogen er ikke lovpligtig, men den samler dokumentation, som andre regler kræver, og skaber klarhed om, hvad der gælder. Vilkår i håndbogen kan få ansættelsesretlig virkning, så væsentlige ændringer skal varsles korrekt. En god praksis er at lade medarbejderne kvittere digitalt for, at de har læst den gældende version.

Psykisk APV

Den del af arbejdspladsvurderingen, der handler om det psykiske arbejdsmiljø: arbejdspres, uklare krav, mobning, chikane, vold og krænkende handlinger. Psykisk arbejdsmiljø er ikke et frivilligt tillæg — det skal altid indgå i APV'en på lige fod med det fysiske arbejdsmiljø. Reglerne er præciseret i bekendtgørelsen om psykisk arbejdsmiljø fra 2020. Mange virksomheder kortlægger det via anonyme spørgeskemaer, så medarbejderne tør svare ærligt.

QES (kvalificeret elektronisk signatur)

Det højeste signaturniveau i eIDAS: en avanceret elektronisk signatur, der er skabt med et kvalificeret signaturfremstillingssystem og baseret på et kvalificeret certifikat udstedt af en godkendt tillidstjenesteudbyder. En QES har samme retsvirkning som en håndskreven underskrift i hele EU og anerkendes på tværs af medlemslandene. QES kræves kun i særlige tilfælde, hvor lovgivningen stiller formkrav — til almindelige forretningsaftaler er AES eller SES som regel tilstrækkeligt. Til gengæld er bevisbyrden i praksis vendt: Ved en QES er det den, der bestrider signaturen, som må bevise, at den ikke er ægte.

Repressalier

Enhver ufordelagtig behandling af en whistleblower som følge af en indberetning — fx fyring, degradering, chikane, dårligere opgaver eller udelukkelse fra forfremmelse. Whistleblowerloven forbyder repressalier, og også trusler om og forsøg på repressalier er ulovlige. Udsættes en whistleblower alligevel for repressalier, har vedkommende ret til godtgørelse, og bevisbyrden kan vende, så arbejdsgiveren skal godtgøre, at behandlingen ikke skyldtes indberetningen. Beskyttelsen gælder, når indberetteren var i god tro om oplysningernes rigtighed.

Samtykke

Et af GDPR's seks lovlige grundlag for at behandle personoplysninger. Et gyldigt samtykke skal være frivilligt, specifikt, informeret og utvetydigt — og gives ved en aktiv handling, fx et kryds i en boks, der ikke er sat på forhånd. Den registrerede kan til enhver tid trække samtykket tilbage, og det skal være lige så let som at give det. Virksomheden skal kunne dokumentere, at samtykket er indhentet korrekt, og i ansættelsesforhold er samtykke sjældent egnet, fordi magtforholdet gør frivilligheden tvivlsom.

SCC (standardkontraktbestemmelser)

EU-Kommissionens standardkontrakter, som virksomheder kan bruge som overførselsgrundlag, når personoplysninger sendes til lande uden for EU/EØS uden tilstrækkelighedsafgørelse. De gældende SCC'er fra 2021 findes i moduler, der dækker forskellige konstellationer af dataansvarlige og databehandlere. Klausulerne skal underskrives uændret, og efter Schrems II skal de suppleres med en vurdering af modtagerlandets lovgivning og eventuelt ekstra sikkerhedsforanstaltninger som kryptering. SCC'er er i praksis det mest brugte overførselsgrundlag for SMV'er.

SES (simpel elektronisk signatur)

Det grundlæggende signaturniveau i eIDAS: data i elektronisk form, der er knyttet til andre elektroniske data, og som underskriveren bruger til at skrive under — fx et navn tastet under en e-mail, et indscannet billede af en underskrift eller et klik på en accept-knap. En SES er juridisk gyldig til langt de fleste aftaler i Danmark, hvor der gælder aftalefrihed om form. Bevisværdien afhænger dog af, hvor godt man kan dokumentere, hvem der underskrev, og at dokumentet ikke er ændret. Derfor styrkes en SES markant af en audit-log og en kryptografisk hash af dokumentet.

SHA-256 / dokumenthash

Et kryptografisk fingeraftryk af et dokument, beregnet med en hashfunktion som SHA-256. Selv den mindste ændring i dokumentet — et enkelt tegn — giver en helt anden hashværdi, og det er praktisk umuligt at fremstille et andet dokument med samme hash. Ved elektronisk underskrift gemmes dokumentets hash, så man senere kan bevise, at det underskrevne dokument ikke er ændret. Hashen afslører intet om dokumentets indhold og kan derfor deles frit som integritetsbevis.

Slettefrister

De frister, en virksomhed fastsætter for, hvor længe forskellige typer personoplysninger opbevares, før de slettes eller anonymiseres. GDPR's princip om opbevaringsbegrænsning kræver, at oplysninger ikke gemmes længere end nødvendigt for formålet. Fristerne skal dokumenteres — typisk i artikel 30-fortegnelsen og en slettepolitik — og de skal faktisk håndhæves i praksis. Nogle frister følger af anden lovgivning, fx bogføringslovens krav om 5 års opbevaring af regnskabsmateriale.

Tidsregistrering

Siden 1. juli 2024 skal danske arbejdsgivere have et objektivt, pålideligt og tilgængeligt system, der registrerer hver medarbejders daglige arbejdstid. Kravet følger af ændringen af arbejdstidsloven, der gennemfører EU-Domstolens praksis, og skal gøre det muligt at kontrollere 48-timers reglen og reglerne om hviletid. Registreringerne skal opbevares i 5 år, og medarbejderen skal kunne tilgå sine egne oplysninger. Såkaldt selvtilrettelæggere kan undtages, men undtagelsen er snæver og skal fremgå af ansættelseskontrakten.

Tidsstempel

Elektronisk dokumentation for, at bestemte data eksisterede på et bestemt tidspunkt. I signatur- og compliance-sammenhæng binder tidsstemplet dokumentets hash til et klokkeslæt, så man kan bevise, hvornår dokumentet blev underskrevet eller registreret. eIDAS regulerer kvalificerede elektroniske tidsstempler, der udstedes af godkendte tillidstjenesteudbydere og nyder en formodning om rigtighed. Pålidelige tidsstempler er også vigtige i audit-logs, fx til at dokumentere at et databrud blev anmeldt inden for 72 timer.

Tredjelandsoverførsel

Overførsel af personoplysninger til lande uden for EU/EØS — fx når en virksomhed bruger en amerikansk cloud-tjeneste. Overførslen kræver et gyldigt overførselsgrundlag efter GDPR's kapitel V: en tilstrækkelighedsafgørelse fra EU-Kommissionen (som EU-U.S. Data Privacy Framework), standardkontraktbestemmelser (SCC) eller bindende virksomhedsregler. Efter Schrems II-dommen skal virksomheden desuden vurdere, om beskyttelsesniveauet i modtagerlandet reelt er tilstrækkeligt. Tredjelandsoverførsler skal fremgå af artikel 30-fortegnelsen og privatlivspolitikken.

Whistleblowerloven

Den danske lov, der gennemfører EU's whistleblowerdirektiv (2019/1937) og trådte i kraft i december 2021. Loven forpligter private virksomheder med 50 eller flere ansatte og de fleste offentlige arbejdsgivere til at etablere en intern whistleblowerordning — kravet har omfattet virksomheder med 50-249 ansatte siden 17. december 2023. Den beskytter whistleblowere mod repressalier og stiller krav om fortrolighed, kvittering inden for 7 dage og feedback inden for 3 måneder. Overtrædelse kan medføre bøde og erstatningsansvar.

Whistleblowerordning

En intern kanal, hvor medarbejdere og andre med arbejdsrelateret tilknytning fortroligt kan indberette lovovertrædelser og alvorlige forhold — fx svindel, bestikkelse, brud på GDPR eller seksuel chikane. Ordningen skal have en upartisk whistleblowerenhed, der kvitterer for modtagelsen inden for 7 dage og giver feedback inden for 3 måneder. Indberetterens identitet skal beskyttes, og kun personer med behov må have adgang til sagerne. Ordningen skal beskrives skriftligt, og medarbejderne skal have let adgang til information om, hvordan den bruges.