GDPR
January 24, 2020

Sådan opnår din organisation GDPR-compliance

Næsten et år efter persondataforordningen – bedre kendt som GDPR - trådte i kraft kæmper en del organisationer stadig med at danne sig et overblik over, hvad der egentlig skal til for at opnå fuld GDPR-compliance.

Vi har derfor udarbejdet 6 simple punkter, som kan gøre det mere håndgribeligt og overskueligt at lave en GDPR-handlingsplan.

Kortlæg persondata og arbejdsgange

Som noget af det første er det vigtigt at identificere og vurdere al persondata, som eksisterer i organisationen. På den måde skaber du et overblik over jeres persondata samt de processer, I anvender i datahåndteringen. Dermed bliver det lettere at sammenholde allerede eksisterende databeskyttelsesforhold med Dataforordningen og identificere eventuelle gaps i indsatsen.

Udvælg et GDPR-team

For at få et dybdegående indblik i alt data på tværs af organisationen skal du samle et hold af eksperter, der skal stå for at udarbejde kortlægningen. Med mindre jeres organisation er meget lille, er det nemlig utænkeligt, at én person har nok viden om alle organisationsprocesserne til at sikre 100% compliance. Størrelsen på GDPR-teamet er derfor styret af organisationens størrelse.

Udover kortlægning og identificering af gaps vil teamet hjælpe med implementeringsprocessen samt sikre, at alle ændringer er i overensstemmelse med GDPR – hvilket indebærer, at alt skal dokumenteres og nedskrives.

Hvis det ikke er dokumenteret, så eksisterer jeres indsats ikke. Det er i hvert fald den tankegang, som Datatilsynet har. Det er derfor vigtigt at udarbejde metadata på alt jeres datahåndtering.

Udpeg en data protection officer

Udover at samle et team er det ligeledes vigtigt, at organisationen udpeger en specifik person – en såkaldt data protection officer (DPO) – hvis hovedfokus består i at rådgive, vejlede og overvåge, at de databeskyttelsesretlige regler overholdes.

DPO’en er ikke kun bindeleddet til den øverste ledelse, men også til Datatilsynet og skal stå for håndteringen og udviklingen af organisationens dataposition.

Brug en systemunderstøttet tilgang

Investeringer i software og ekstern ekspertise er en afgørende faktor i forbindelse med  GDPR-compliance. F.eks. foreligger der krav om, hvordan en organisation skal kryptere og anonymisere persondata. Desuden skal du overveje om den metode, du anvender til at dokumentere indsatsen, er god nok. Brug af Excel kan eksempelvis give mangler i forhold til de dokumentationskrav, som persondataforordningen sætter.

Skab en fælles GDPR-compliancekultur

For at sikre at jeres compliance ikke kun fungerer i teori men også i praksis, er det væsentligt, at alle medarbejdere er informeret og sat ind i deres eget ansvarsområde i forbindelse med GDPR.

God kommunikation og oplæring er essentielt for at sikre en fælles kultur, hvor GDPR-compliance er et gennemgående fokuspunkt på tværs af organisationen. Er alle ikke med, kan det være vanskeligt for en organisation at leve op til de lovmæssige krav.

Planlæg regelmæssige opdateringer

GDPR er ikke en stillestående proces, men en dynamisk tilgang til persondatabeskyttelse. Det er en never ending story, som du og dine kolleger kontinuerligt skal arbejde på.

I fremtiden kan der forekomme ændringer i forbindelse med lovgivningen. Det er vigtigt at være på forkant med disse ved at planlægge løbende opdateringer af politikker og processer. Som organisation skal I derfor have opsat en kontrol i forhold til, hvordan I ønsker at håndtere dette, samt hvordan I ønsker at informere de ansvarlige, når en opdatering skal finde sted.

Læs også: Derfor skal du have en fortegnelse

Download Nyhedsbrev fra Plesner

Mere fra RISMA