At være GDPR-compliant betyder grundlæggende, at man som virksomhed lever op til persondataloven og de krav, der stilles, i forhold til persondataforordningen også kendt som GDPR (The General Data Protection Regulation).
Overholdelse af persondataforordningen og vejen dertil (GDPR-compliance) er en forandringsproces, der først og fremmest har til formål at identificere, implementere og forankre de områder, arbejdsgange og processer, der skal revurderes og ændres, for at man som virksomhed overholder lovgivningen, og derefter udlever disse forandringer i praksis.
Denne proces og efterfølgende governance skal forankres af ledelsen, men implementeres af alle medarbejdere, da der ikke bare vil være tale om ændringer af processer og indkøb af software, men i lige så høj grad om kulturelle ændringer så som vaner, værdier, antagelser og måden man kommunikere med hinanden – vertikalt som horisontalt, formelt såvel som uformelt.
Forandringer af denne størrelsesorden kræver, at medarbejderne tager ejerskab og engageres, hvilket kun opnås ved at involvere disse fra starten, udpege forandringsagenter, uddelegere ansvar, indføre læringsprocesser og kontinuerlig opfølgning. Da en manglende GDPR-compliance kan få betydelige økonomiske konsekvenser i form af bøder og yderligere resultere i negativ presseomtale, der kan skade virksomhedens brand og ikke mindst den økonomiske værdi af dette, kan denne brændende platform ligeledes understrege vigtigheden af forandringsprocessen.
Mange virksomheders store udfordring ligger desuden i ustruktureret data af formel og uformel karakter, der ligger spredt på servere, i clouden, på mailklienter, i arkiver (analoge såvel som digitale), på personlige drev og mapper, på SMS-beskeder, hos eksterne samarbejdspartnere og alle andre tænkelige destinationer. Dette strider imod persondataforordningens Artikel 5, principper for behandling af data, der blandt andet bekendtgør, at personoplysninger skal behandles begrænset, gennemsigtigt og ikke mindst på en måde, der teknisk og organisatorisk sikrer tilstrækkelig sikkerhed.
At få udarbejdet et overblik over alle personlige data kræver derfor en betydelig indsats og en større kortlægning, der skal ses som et delelement i den overordende compliance-proces.
Eksempel på en GDPR-compliance-proces i praksis
1. Etablering af projektorganisation
Udpegelse af styregruppe. Allokering af nødvendige ressourcer herunder medarbejdere, økonomi og systemer.
2. Projektplanlægning og scop
Tidsplan og projektforløb.
3. Persondata due diligence og kortlægning via interviews
Dataansvarlige/databehandlere, kategorier af persondata, formål, videregivelse af data, iagttagelse af regler vedr. registreredes rettigheder, transparens, sikkerhedsmæssige aspekter (it-mæsige såvel som organisatoriske), særlige risici, gennemgang af databehandleraftaler, etc.
4. Gap-analyse – juridisk og teknis
Identificer gaps i eksisterende compliance-niveau baseret på gennemgang af indsamlet materiale. Tilrettelæggelse af dokumentation og strategier for fremtidig compliance. Vurder/firetag risikoanalyser, overvej nødvendigheden af konsekvensanalyser, anbefalinger af fremadrettede tiltag.
5. Forberedelse af de anbefalede/vedtagende nye tiltag
Forretningsgange, politikker, ansættelseskontrakter, DPO(Data Protection Officer), dokumentation, konsekvensanalyser, sikkerhedsberedskab, etc. Forhndlinger med kunder og leverandører, nye databehandleraftaler, samtykker, etc.
6. Implementering og launch
Udrulning i organisationen – træningsprogram og implementering af de nye forretningsgange og procedurer.
7. Vedligeholdelse af compliance setup
Procedure til dokumentation af løbende overholdelse (revision), beredskab til kontrolbesøg etc.
Det rette værktøj til opgaven
Implementeringen af et intranet kan være en stor hjælp til brugervenligt at implementere operativ GDPR-compliance på tværs af organisationen og er i sig selv et proaktivt skridt, der både internt og eksternt udviser handling.
Implementeringen eller udnyttelsen af et intranet, der kan strukturere data og gøre behandlingen og kommunikationen af persondata både overskuelig og brugervenlig, kan ikke øjeblikkeligt og direkte ændre på de kulturelle værdier og antagelser blandt medarbejderne, men kan fra dag et understøtte en stor del af de lovmæssige krav, der stilles til behandlingen af og omgangen med persondata og dermed understrege, at man som virksomhed handler proaktivt ift. lovgivningen.
Ønsker du at vide mere om persondataforordningen, og hvordan Colibo kan hjælpe dig og din virksomhed videre, kan du med fordel downloade og læse vores whitepaper "Imødekom og understøt GDPR med Colibo".
Du er også meget velkommen til at kontakte Anders Strømkjær Hansen direkte på telefon +45 6024 9610 eller på anh@colibo.com, eller du kan udfylde vores kontaktformular hér.
