GDPR udgør en udfordrende opgave for enhver organisation, når det kommer til implementeringen og omsætningen af de komplekse GDPR-krav til praksis. Selv når du har opnået en omfattende viden om persondataforordningen, kan det være svært at vide, hvor du skal starte og slutte samt skabe det nødvendige overblik for at sikre GDPR-compliance.
Vi har derfor udarbejdet 5 simple punkter, som kan gøre det mere håndgribeligt og overskueligt at lave en GDPR-handlingsplan.
1. Kortlægning af personoplysninger og processer
Et afgørende første skridt mod GDPR-compliance er at opnå et grundigt overblik over data i din organisation. Dette indebærer at identificere og forstå de forskellige typer data, I behandler, herunder både normale personoplysninger og de mere følsomme data. Det er essentielt for at sikre, at I har de nødvendige sikkerhedsforanstaltninger og processer på plads.
Ved at kortlægge og skabe et overblik bliver det lettere at sammenholde jeres nuværende databeskyttelsesforhold med GDPR's krav og identificere eventuelle huller i jeres gdpr-indsats. For eksempel kan I opdage, hvis I opbevarer data længere end tilladt eller hvis I ikke gør brug af de rigtige eller mest hensigtsmæssige behandlingshjemler.
2.Udvælg et GDPR-team
For at få et dybdegående indblik i alt data på tværs af organisationen skal du samle et hold af eksperter, der skal stå for at udarbejde kortlægningen. Med mindre jeres organisation er meget lille, er det nemlig utænkeligt, at én person har nok viden om alle organisationsprocesserne til at sikre 100% compliance. Størrelsen på GDPR-teamet bør derfor være styret af organisationens størrelse og kompleksitet.
Udover kortlægning og identificering af gaps vil teamet hjælpe med implementeringsprocessen samt sikre, at alle ændringer er i overensstemmelse med GDPR – hvilket indebærer, at alt skal dokumenteres og nedskrives.
Dokumentationen af din GDPR-indsats er afgørende for at sikre, at dine handlinger er synlige og verificerbare. Samtidig viser du at passende procedurer, politikker og sikkerhedsforanstaltninger er implementeret for at beskytte persondata. Uden dette kan selv de bedste intentioner og initiativer miste deres værdi, i hvert fald i Datatilsynets øjne.
Visse organisationer skal også udpege en DPO
Udover at samle et team er vil det for nogen organisationer også være et krav, at den udpeger en specifik person – en såkaldt data protection officer (DPO) – hvis hovedfokus består i at rådgive, vejlede og overvåge, at de databeskyttelsesretlige regler overholdes.
DPO’en er ikke kun bindeleddet til den øverste ledelse, men også til Datatilsynet og skal stå for håndteringen og udviklingen af organisationens dataposition. Hvis du er i tvivl om, hvorvidt din organisation skal have en DPO, kan du læse mere om hvilke organisationer, som er underlagt DPO-kravet i vores blogpost: Skal din organisation have en DPO?
3.Brug en systemunderstøttet tilgang
Investeringer i software og ekstern ekspertise spiller en afgørende rolle for GDPR-compliance. F.eks. foreligger der krav om, hvordan en organisation skal kryptere og anonymisere persondata. Derudover skal du også overveje om den metode, du anvender til at dokumentere indsatsen, er god nok.
Mange organisationer vælger måske at bruge Excel værktøj til dette på grund af dets velkendthed, men det kan medføre udfordringer med compliance. Excel er nemlig ikke det mest hensigtsmæssige værktøj og kan have begrænsninger i forhold til GDPR-kravene.
Ved at vælge en specialiseret softwareløsning til GDPR kan du effektivt imødekomme de dynamiske og komplekse krav i GDPR. Dette giver dig bedre kontrol, automatiserede processer og en pålidelig håndtering af GDPR-oversigten
LÆS OGSÅ: Excel og GDPR: 6 gode grunde til IKKE at bruge Excel
4. Skab en stærk GDPR-compliancekultur
For at sikre at jeres compliance ikke kun fungerer i teori, men også i praksis, er det væsentligt, at alle medarbejdere inddrages i arbejdet med GDPR. Data gennemsyrer hele organisationen, og opgaven skal derfor løftes i flok for at undgå sårbarheder.
Det er nødvendigt at skabe det rette mindset og den rette forståelse blandt de involverede for at få de nødvendige processer og foranstaltninger implementeret i hverdagen. At skabe en kulturændring for GDPR-compliance er omfattende og kræver, at GDPR bliver integreret i mål, strategier, processer og beslutninger.
Det indebærer blandt andet at:
- der kommunikeres om GDPR på tværs af hierarki og afdelinger.
- kulturændringen starter hos ledelsen for at få den
- der udarbejdes en kommunikations- og oplæringsplan
5. Planlæg regelmæssige opdateringer
GDPR er ikke en stillestående proces, men en dynamisk tilgang til persondatabeskyttelse. Det er en never-ending story, som du og dine kolleger kontinuerligt skal arbejde på. Og hvis de forgangne år har vist os noget, så er det, at der hele tiden kommer flere niveauer at forholde sig til i form af vejledninger og afgørelser - såsom Schrems II-dommen.
Det er derfor vigtigt at være på forkant med disse ved at planlægge løbende opdateringer af politikker og processer. Som organisation skal I derfor have opsat en kontrol i forhold til, hvordan I ønsker at håndtere dette, samt hvordan I ønsker at informere de ansvarlige, når en opdatering skal finde sted.