Viden, der skaber værdi for dig
Kom nemt i mål med GDPR
Der er ingen grund til at betale dyre lærepenge, når man kan stå på ryggen af andres erfaring.
Praktisk databeskyttelse er en efterhånden gammel disciplin, som vi har haft fornøjelsen af at udøve i mange år.
For at hjælpe dig bedst muligt på rette vej, har vi sammensat et klassisk implementeringsforløb i kasserne nedenfor.
Har du spørgsmål til de enkelte trin er du altid velkommen til at kontakte os – det koster ikke noget.
GDPR-implementering i praksis
Ledelsesforankring er afgørende for GDPR-efterlevelse, da det sikrer, at databeskyttelse prioriteres strategisk og integreres i virksomhedens kerneprocesser.
Når ledelsen går foran, øges medarbejdernes bevidsthed og engagement, og en kultur for databeskyttelse skabes. Ledelsen allokerer nødvendige ressourcer til compliance, såsom uddannelse og teknologi, og sikrer korrekt implementering af politikker.
Desuden muliggør ledelsens støtte kontinuerlig overvågning og forbedring, samt effektiv risikostyring og respons på databrud, hvilket hjælper med at undgå bøder og omdømmeskader.
En af de vigtigste forudsætninger for effektiv implementering og efterlevelse af GDPR, er den fælles risikoforståelse.
Det er helt grundlæggende at alle i organisationen er indforståede med, at GDPR handler om at værne om sine medborgeres muligheder for at leve et så frit liv som muligt.
GDPR handler eksempelvis om risikoen for at man blive beskattet forkert, fordi indkomst- eller ejendomsoplysninger er forkerte. GDPR handler også om risikoen for, at man sidder og laver kø foran bommen på Storebæltsbroen, fordi ens betaling ikke er registreret.
Og så handler GDPR selvfølgelig også om risikoen for man bliver fravalgt til jobbet, fordi det kommer frem at man snart skal være forældre.
GDPR er en af den slags opgaver, hvor ressourceforbruget kan eksplodere, hvis det ikke bliver styret fra starten.
Hvis man gerne hurtigt vil overstå implementeringen og over i den lettere driftsfase, er anbefalingen klar: Afsæt de nødvendige ressourcer i opstarten til, at få det nødvendige overblik over det samlede implementeringsarbejde og relaterede ressourcetræk.
Hvis alt er gået planmæssigt, og har I nu ledelsens opbakning til GDPR-indsatsen og en fælles forståelse af, at det handler om at værne om folks rettigheder ved at håndtere deres personoplysninger på forsvarlig vis.
Så vil næste skridt være, at få et overblik over jeres organisation ud fra et GDPR-perspektiv, så I kan sortere de opgaver fra, som ikke er relevante og fokusere på det nødvendige.
GDPR handler essentielt set om forvaltningen af oplysninger om andre mennesker.
Det er derfor vigtigt, at holde fokus på selve forvaltningen af oplysningerne udtrykt som processer.
Det kan eksempelvis være ”håndtering af jobansøgninger”, ”afholdelse af sygesamtaler” eller en af de andre aktiviteter I gennemfører, som en del af jeres drift.
Det sker sjældent, at en enkelt person ligger inde med al viden om, alle de processer, hvor I forvalter oplysninger om andre.
Vi anbefaler derfor, at I inddrager de af jeres kollegaer, som kender de enkelte arbejdsgange bedst. De er vigtige allierede i det videre arbejde med afgrænsning af GDPR-arbejdet.
I er nu godt i gang med at få greb om GDPR-arbejde i jeres organisation.
Ledelsen er taget I ed, risikoforståelsen er ensartet, der er afsat tilstrækkelige ressourcer, og I har i samarbejde med jeres kollegaer fået indblik i de processer, hvor I forvalter oplysninger om andre mennesker.
Næste skridt er nu, at undersøge, hvilke værktøjer der bliver brugt i organisationen til at håndtere personoplysningerne.
Vi anbefaler, at I tager afsæt i den enkelte aktiviteter og taler med jeres kollegaer om, hvilke it-systemer, mappestrukturer og eventuelt fysiske medier de bruger i deres hverdag.
Det skal nævnes, at det sjældent vil være nok, at tale med IT om dette. Det skyldes, at IT som regel ikke har et komplet billede af, hvilke systemer, der reelt bliver brugt i organisationen.
Kortlægningen skrider nu hurtigere og hurtigere frem. Der er styr på processer, personel og systemer.
Næste skridt er at få afklaret, hvilken hardware der anvendes. Det er i den sammenhæng vigtigt, at tænke bredt, ud af boksen og så videre.
De fleste bruger naturligvis det materiel, som de har fået af deres arbejdsplads, det hænder dog, at der bliver taget privat maskinel i brug i en snæver vending.
Vi anbefaler derfor, at man tilstræber en åben, ærlig og fordomsfri drøftelse om, hvilket materiel, der rent faktisk bliver anvendt.
Dialogen er god. Kollegaerne har fortalt vidt og bredt om, hvilke systemer og hardware de bruger i deres hverdag. Det er helt perfekt, når nu næste skridt er at identificere organisationens dataansvarlige.
Med afsæt i ovenstående er det rent rugbrødsarbejde, at notere hvilke eksterne organisationer, der er involveret i organisationens håndtering af andre folks oplysninger.
Det næste vil være, at undersøge om der er databehandleraftaler med dem alle.
”Safety first”, som man siger. Den holder bare ikke i praksis.
Forud for etablering af sikkerhedstiltag ligger vurdering af, hvad der reelt er brug for. Det man gerne vil vide er, om den måde organisationen forvalter andre folks oplysninger på indebærer risici for de pågældende personer. Det kunne eksempelvis være manglende ledelsesforankring, der medfører at beskyttelsen af de registrerede slet ikke bliver prioriteret. Det kunne også være, at der er så travlt i organisationen, at der ikke er tid til at sikre at man altid sender til den rigtige modtager.
Uanset hvor skoen trykker, skal det skrives ned, så det kan indgå i kortlægningen af GDPR-arbejdet.
Tillykke! I er nu ved sidste skridt i implementeringsarbjedet.
Det er hér topledelsen bliver præsenteret for kortlægningen af organisationens forvaltning af andre folks personoplysninger, og vigtigst af alt, er det hér topledelsen træder i karaktér og træffer beslutning om, hvorvidt de identificerede risici skal accepteres eller håndteres.
Er der risici, som skal håndteres, vil der naturligvis være et efterspil med den konkrete håndtering. Det kunne eksempelvis være at få lagt de rigtige privatlivspolitikker på hjemmesiden, at få et lovligt cookie-banner eller at skrive fælles retningslinjer for forvaltningen af personoplysninger.
Implementeringen er afsluttet. I har nu et funklende og ikke mindst retvisende overblik over organisationens forvaltning af personoplysninger.
Sagen er dog den, at det ellers så retvisende og funklende billede over tid mister sin værdi al den stund, det ikke forbliver retvisende af sig selv.
Det løbende arbejde med at bevare et retvisende billede og løbende rapportere og håndtere de risici, som dukker op, kan bedst sammenlignes med at træne op til et marathon. Jo længere der går mellem hvert træningspas, jo hårdere bliver det næste.
Vi anbefaler derfor, at der laves en plan for det løbende vedligehold og at arbejdet bliver løftet i flok.