Ét år med GDPR – tid til refleksion
I morgen, lørdag den 25. maj 2019, er det ét år siden, databeskyttelsesforordningen fik virkning. På 1-årsdagen modtager du sikkert en masse nyhedsbreve og artikler om GDPR-jubilæet. Inden det går løs, giver vi dig ti gode råd til at komme videre i arbejdet med databeskyttelse.
Datatilsynets inspektioner og den nylige sag om Taxa 4x35 viser, hvor vigtigt det er at holde fokus på databeskyttelse i den daglige drift. Databeskyttelse og compliance er ikke et rent papirprojekt. De krav, som virksomheden har beskrevet – eller burde have beskrevet – i sine databeskyttelsespolitikker og procedurer, skal også efterleves i praksis. Derfor handler compliance også om databeskyttelse blandt de menige medarbejdere i alle afdelingerne i din virksomhed.
Nedenfor har vi samlet ti råd, som kan hjælpe dig og din virksomhed med at sikre overholdelse af databeskyttelsesreglerne i praksis. Brug 1-årsdagen som en anledning til at genbesøge jeres databeskyttelsesarbejde for at se, om indsatsen giver en tilstrækkelig og effektiv compliance.
1. Brugbar dokumentation
Gennemgå jeres databeskyttelsespolitikker og -procedurer for at sikre, at de er tydelige, letforståelige, realistiske og målbare – og at de også kan efterprøves. De skal ikke være for ambitiøse eller have karakter af eventyrlige fortællinger om jeres ambitioner på databeskyttelsesområdet. Og de skal heller ikke være rent "juridiske" dokumenter, som blot gengiver reglerne. Politikkerne og procedurerne skal afspejle virksomhedens virkelighed og modenhed samt hjælpe med at overholde kravene i praksis.
2. Tænk hele virksomheden ind
Inddrag kolleger fra andre afdelinger, f.eks. marketing, HR eller finansafdelingen, ved opdateringen eller udarbejdelsen af dokumentation, politikker og procedurer. Medarbejderne rundt om i virksomheden vil være mere tilbøjelige til at tage ejerskab, hvis de forstår formålet med politikkerne og procedurerne og har deltaget i udarbejdelsen af dem. De kan også medvirke til at sikre, at dokumenterne passer med virksomhedens faktiske forretningsgange.
3. Kom ud af kontoret og rundt i virksomheden
Tal med de personer, som politikkerne og procedurerne er rettet mod. Spørg dem, om dokumenterne er forståelige, om der er ting, der gør det svært at overholde kravene osv. Giv dem eventuelt værktøjer, som kan gøre det lettere for dem at overholde kravene.
4. Gør databeskyttelse til kultur
Arbejd hen imod, at medarbejdere er "databeskyttelsesfokuserede", og sørg for at tilbyde uddannelse og undervisning, som tager højde for virksomhedens specifikke risici. Det kan være fristende at implementere generiske løsninger af omkostningshensyn, men i det lange løb skal virksomheden og medarbejderne instinktivt tænke på databeskyttelse. Gør det personligt og relevant, så medarbejderne forstår betydningen for deres hverdag.
5. Gør databeskyttelse til en del af forretningen
Hvis databeskyttelsesaktiviteterne bygger på en compliancebaseret tilgang, kan det overvejes i højere grad at tilpasse dem virksomhedens aktiviteter, særligt hvis persondata er et kerneområde. Det vil bidrage til at skabe forståelse for værdien af databeskyttelse i hele virksomheden. Inddrag databeskyttelse som et emne, når I næste gang skal revidere virksomhedens samlede forretningsstrategi.
6. Skift ud i toppen
Overvej, om det er tid til udskiftning blandt dem, der er ansvarlige for databeskyttelse i virksomheden (f.eks. hvis I har en styregruppe eller et "dataråd") – særligt hvis I ønsker større grad af ensretning med forretningen. Udskift medlemmer, der kommer fra koncern- eller HR-funktioner med erfarne medarbejdere fra afdelinger, hvor persondata er af afgørende betydning for forretningen.
7. Klart ansvar
Gennemgå virksomhedsstrukturen for at sikre, at der på alle niveauer er medarbejdere, der er ansvarlige for databeskyttelse. I en del virksomheder kan man finde "ansvarshuller" – typisk på mellemlederniveau – og det kan give problemer med at sikre databeskyttelse i hverdagen.
8. Giv DPO'en råderum
Hvis din virksomhed har udpeget en databeskyttelsesrådgiver (DPO), så vær sikker på, at DPO'ens stilling i virksomheden lever op til lovkravene, og at I også giver DPO'en mulighed for at gøre en forskel. Det er ikke ualmindeligt, at der kan opstå interessekonflikter mellem det daglige arbejde og DPO-rollen, ligesom man også kan opleve manglende intern accept af DPO'ens funktion og uafhængighed.
9. Håndtér databeskyttelse over grænserne
Forstå og tag højde for de kulturelle forskelle i ledelsen af virksomheden – særligt i virksomheder med aktiviteter og lokationer i flere lande. Det er særligt vigtigt på øverste ledelsesniveau, hvor der kan være forskellige opfattelser af risici og prioritetsområder.
10. Løbende tilpasning og forbedring
Gennemgå løbende virksomhedens databeskyttelsespolitikker og -aktiviteter. Hvilke ændringer er der sket internt og eksternt, f.eks. ny lovgivning, nye vejledninger eller ny retspraksis, fusioner, opkøb, ny teknologi, trusler, samfundsmæssige ændringer osv. Overvej betydningen af disse ændringer og eventuelle justeringer i jeres databeskyttelsespolitikker og -aktiviteter.
De ti råd ovenfor er hverken en udtømmende liste eller en facitliste for alle. Håndpluk fra listen, og brug det udvalgte i din virksomhed.
Kontakt
