Næsten et år efter persondataforordningen – bedre kendt som GDPR - trådte i kraft kæmper en del organisationer stadig med at danne sig et overblik over, hvad der egentlig skal til for at opnå fuld GDPR-compliance.
Vi har derfor udarbejdet 5 simple punkter, som kan gøre det mere håndgribeligt og overskueligt at lave en GDPR-handlingsplan.
1. Kortlæg persondata og arbejdsgange
Som noget af det første er det vigtigt at identificere og vurdere al persondata, som eksisterer i organisationen. På den måde skaber du et overblik over jeres persondata samt de processer, I anvender i datahåndteringen. Dermed bliver det lettere at sammenholde allerede eksisterende databeskyttelsesforhold med Dataforordningen og identificere eventuelle gaps i indsatsen.
2.Udvælg et GDPR-team
For at få et dybdegående indblik i alt data på tværs af organisationen skal du samle et hold af eksperter, der skal stå for at udarbejde kortlægningen. Med mindre jeres organisation er meget lille, er det nemlig utænkeligt, at én person har nok viden om alle organisationsprocesserne til at sikre 100% compliance. Størrelsen på GDPR-teamet er derfor styret af organisationens størrelse.
Udover kortlægning og identificering af gaps vil teamet hjælpe med implementeringsprocessen samt sikre, at alle ændringer er i overensstemmelse med GDPR – hvilket indebærer, at alt skal dokumenteres og nedskrives.
Hvis det ikke er dokumenteret, så eksisterer jeres indsats ikke. Det er i hvert fald den tankegang, som Datatilsynet har. Det er derfor vigtigt at udarbejde metadata på alt jeres datahåndtering.
Visse organisationer skal også udpege en DPO
Udover at samle et team er vil det for nogen organisationer også være et krav, at den udpeger en specifik person – en såkaldt data protection officer (DPO) – hvis hovedfokus består i at rådgive, vejlede og overvåge, at de databeskyttelsesretlige regler overholdes.
DPO’en er ikke kun bindeleddet til den øverste ledelse, men også til Datatilsynet og skal stå for håndteringen og udviklingen af organisationens dataposition. Hvis du er i tvivl om, hvorvidt din organisation skal have en DPO, kan du læse mere om hvilke organisationer, som er underlagt DPO-kravet i vores blogpost: Skal din organisation have en DPO?
3.Brug en systemunderstøttet tilgang
Investeringer i software og ekstern ekspertise er en afgørende faktor i forbindelse med GDPR-compliance. F.eks. foreligger der krav om, hvordan en organisation skal kryptere og anonymisere persondata. Desuden skal du overveje om den metode, du anvender til at dokumentere indsatsen, er god nok. Brug af Excel kan eksempelvis give mangler i forhold til de dokumentationskrav, som persondataforordningen sætter.
4. Skab en fælles GDPR-compliancekultur
For at sikre at jeres compliance ikke kun fungerer i teori men også i praksis, er det væsentligt, at alle medarbejdere er informeret og sat ind i deres eget ansvarsområde i forbindelse med GDPR.
God kommunikation og oplæring er essentielt for at sikre en fælles kultur, hvor GDPR-compliance er et gennemgående fokuspunkt på tværs af organisationen. Er alle ikke med, kan det være vanskeligt for en organisation at leve op til de lovmæssige krav.
LÆS OGSÅ: Succes med compliance kræver de rette mennesker ved roret
5. Planlæg regelmæssige opdateringer
GDPR er ikke en stillestående proces, men en dynamisk tilgang til persondatabeskyttelse. Det er en never ending story, som du og dine kolleger kontinuerligt skal arbejde på.
I fremtiden kan der forekomme ændringer i forbindelse med lovgivningen. Det er vigtigt at være på forkant med disse ved at planlægge løbende opdateringer af politikker og processer. Som organisation skal I derfor have opsat en kontrol i forhold til, hvordan I ønsker at håndtere dette, samt hvordan I ønsker at informere de ansvarlige, når en opdatering skal finde sted.