Sådan opnår din organisation GDPR-compliance

June 12, 2019

Næsten et år efter persondataforordningen – bedre kendt som GDPR - trådte i kraft kæmper en del organisationer stadig med at danne sig et overblik over, hvad der egentlig skal til for at opnå fuld GDPR-compliance. Vi har derfor udarbejdet 6 simple punkter, som kan gøre det mere håndgribeligt og overskueligt at lave en GDPR-handlingsplan.  Så blev ved med at læse, hvis du er træt af GDPR-frustration i hverdagen.

Kortlæg persondata og arbejdsgange i organisationen

Som noget af det første er det vigtigt at identificere og vurdere al data, som eksisterer i jeres organisation. På den måde skaber I et overblik over jeres persondata, samt de processer I anvender i datahåndteringen. Dermed bliver det lettere at sammenholde jeres allerede eksisterende databeskyttelsesforhold med Dataforordningen og identificere eventuelle gaps i jeres indsats.

GDPR-processen er en teamproces: Udvælg de involverede

For at få et dybdegående indblik i alt data på tværs af organisationen, er I nødt til at samle et hold af proceseksperter, der skal stå for udarbejdelsen af kortlægningen. Med mindre jeres organisation er en meget lille, er det nemlig utænkeligt, at én person har nok viden om alle organisationsprocesserne til at sikre 100% compliance. Størrelsen på dette team er derfor styret af organisationsstørrelsen. Udover kortlægningen og identificeringen af gaps vil teamet hjælpe med implementeringsprocessen samt sikre, at alle ændringer er i overensstemmelse GDPR – hvilket indebærer, at alt skal dokumenteres og nedskrives. Fordi hvis det ikke er dokumenteret, jamen så eksisterer jeres indsats ikke. Det er i hvert fald den tankegang, som Datatilsynet har. Det er dermed vigtigt at udarbejde metadata på alt jeres datahåndtering.

Udpeg en data protection officer

Udover at samle et team er det ligeledes vigtigt, at organisationen udpeger en specifik person – en såkaldt data protection officer (DPO) – hvis hovedfokus består i at rådgive, vejlede og overvåge, at de databeskyttelsesretlige regler overholdes. DPO’en er ikke kun bindeleddet til den øverste ledelse, men også til Datatilsynet og skal stå for håndteringen og udviklingen af organisationens dataposition.

Databeskyttelse: Brug software i forbindelse med GDPR

Investeringer i software og ekstern ekspertise er en afgørende faktor i forbindelse med  GDPR-compliance. F.eks. foreligger der krav om, hvordan en organisation skal kryptere og anonymisere persondata. Desuden skal man overveje om den metode, man anvender til at dokumenterer sin indsats, er god nok. Excel kan eksempelvis opleve mangler i forhold til de dokumentationskrav, som persondataforordningen sætter.  

GDPR-compliancekultur: Skab fælles forståelse for processen

For at sikre at jeres compliance ikke kun fungerer i teori, men også i praksis, er det væsentligt, at alle medarbejdere er informeret og sat ind i deres eget ansvarsområde i forbindelse med GDPR. God kommunikation og oplæring er essentielt for at sikre, at GDPR-compliance er et gennemgående fokuspunkt på tværs af organisationen, og at man får skabt en god compliancekultur. Er alle ikke med, kan det være vanskeligt for en organisation at leve op til de lovmæssige krav.

Planlæg regelmæssige opdateringer

GDPR er ikke en stillestående proces, men en dynamisk tilgang til persondatabeskyttelse. Det er en neverending story, som I kontinuerligt skal arbejde på. I fremtiden kan der forekomme ændringer i forbindelse med lovgivningen. Det er vigtigt at være på forkant med disse ved at planlægge løbende updates af politikker og processer. Som organisation skal I derfor have opsat en kontrol i forhold til, hvordan I ønsker at håndtere dette, samt hvordan I ønsker at informere de ansvarlige, når en update skal finde sted.

Sådan opnår din organisation GDPR-compliance_ GDPR løsning
Dansk
Dansk