Sådan får du styr på GDPR

Den ny EU-forordning om Persondata træder i kraft 25. maj 2018. Der eksisterer allerede en lov om persondata, men den nye lov indebærer nye og skærpede krav til håndteringen af netop persondata. Der er et stort krav til dokumentation af processer og forretningsgange i den nye databeskyttelsesforordning.

Der er stærkt forhøjede bøder i den nye ordning, helt op til 4 % af virksomhedens globale omsætning.

Man kan sammenligne det lidt med fødevarebranchen, som i årevis har haft en egenkontrol og en smileyordning. Her er det Datatilsynet, som er den instans der kommer til at kontrollere virksomhederne.

Der findes nok ingen virksomheder der ikke behandler persondata i et eller andet omfang – oplysninger som navn, adresse og bankoplysninger på dine ansatte, vil det altid være nødvendigt at behandle.

Det er en god ide at udpege en overordnet databeskyttelsesansvarlig også selvom man ikke ligefrem har brug for en Data Protection Officer (DPO). I meget små virksomheder er det administrerende direktør og i større vil der være en it-sikkerheds ansvarlig og så måske nogle superbrugere

Awareness træning af medarbejdere – en opgave der skal løses i fællesskab – man kan sætte regler og systemer op, men i sidste ende er det der fungerer allerbedst, når alle virksomhedens medarbejdere har forståelsen for hvad det her betyder og man kan arbejde for den fælles sag.

Datafortegnelser – alle systemer med persondata i, skal dokumenteres! Stil dig selv disse spørgsmål og sørg for at få mappet dine data ud. En af de første opgaver –

  • Hvad er det for nogle data vi har?
  • hvor ligger de henne?
  • hvem er ansvarlig for dem?
  • Hvad bruger vi dem til?

Gap analyse – Hvilke data har vi og behandler vi disse i overensstemmelse med eller i strid med forordningens regler?

Adgange mere restriktivt Man er nødt til at tænke lidt omvendt af hvad man måske har gjort – tidligere har det måske været bekvemt at give alle samme adgang til data, både interne og eksterne. Fremover er man nødt til at tænke rigtig meget over at folk kun har adgang til de nødvendige data. Det kan blive mere besværligt – man må give folk adgang hvis de har brug for det i en begrænset periode. Eller måske trække data ud til en projektgruppe, frem for at de har adgang.

IT-systemerne – har vi sikkerheden på plads og har vi de systemer der skal til for at kunne håndtere den compliance proces vi skal i gang med.

Aftaler med leverandører – du skal fremover have databehandleraftaler med dine leverandører

Fremover – fokus på ikke at gemme unødvendige data. Tidligere har man måske gemt data fordi de var nemt. Det kunne være ”rart” at gemme data. Vi gemmer eksempelvis kun uopfordrede ansøgninger i 6 måneder. Det betyder nye procedurer. Nogle gange kan man godt berettige at gemme data i flere år. Det man kan sige er, at det er vigtigt at man har tænkt over det og sørger for at der er oprettet sletteprocedurer, så data gemmes på et tidspunkt.

Retten til at blive glemt eller slettet. Virksomheden skal kende sine processer og systemer og være i stand til at håndtere hvis eksempelvis en tidligere medarbejder eller kunde henvender sig. Der er dog lidt opblødning på dette punkt og der kan være forhold der gør, at det ikke er muligt eller nødvendigt at slette. Men det er klart at der skal gode argumenter til. Det kan eksempelvis være at man ikke kan slette data i en backup, fordi det vil ødelægge integriteten.

Der kan være en god business case i at leve op til forordningen.

  • Man får styr på sine systemer og data og får lavet en forårsrengøring
  • Man kan identificere kundemønstre, når man gennemgår de data man har om kunderne
  • Det bliver tid til at gennemse aftaler med leverandører med mulighed for at genforhandle til bedre aftaler.

Det her er ikke et projekt der stopper, det fortsætter

Få det brudt ned til noget der er håndterbart i organisationen! Så det ikke er så uoverskueligt – pluk de lavthængende frugter – hvilke små ting kan gøre en forskel. Det kunne være:

  • Lav en ny politik for hvor længe man får lov at gemme emails
  • Ryd op i jeres arkiver
  • Kryptering af mobile enheder eksempelvis

God arbejdslyst derude og tag fat i mig, hvis du ønsker at tage en snak om hvordan I kan gribe det an.