Tre måneder efter Databeskyttelsesforordningen for alvor har fundet anvendelse, er begreber som ’GDPR’, ’dataansvarlig’ og ’retten til at blive glemt’ så småt begyndt at klinge genkendende hos både borgerskab og erhvervsliv. Men det har været en rejse uden lige at få i de komplekse artikler og paragraffer fra lovgivningen i Databeskyttelsesforordningen omsat til noget, som hele befolkningen kan begribe. Og der er endnu langt til målet. Mens det største incitament til at følge reglerne i organisationerne ligger i bødekravet, har panikangsten for at nå ’deadline’ 25. maj i år nu lagt sig lidt, og det er tid til at kigge på de bagvedliggende faktorer og egentlig formål i forordningen. Det er nemlig dem, borgerne og organisationerne skal forstå og agere efter, hvis indsatsen skal få succes over tid.

Fra fortegnelse til adfærdsændring

Det skal kunne dokumenteres, at en organisation har foretaget justeringer for at leve op til databeskyttelsesforordningen. Hel- og halvdagsseminarer om GDPR har vist konstant stor interesse det sidste års tid, og både ledelse og medarbejdere har taget tilløb til at implementere de nye regelsæt og forsøgt at greje, hvad reglerne betyder for dem i praksis. Og så har de brugt mange ressourcer på at få formalia på plads. Det næste træk er det sejeste. For nu handler det om at holde justeringerne vedlige, og fortsætte det gode arbejde, som er igangsat. Ligesom enhver eks-ryger der skal vænne sig til at drikke sin kaffe uden det 10 cm lange tilbehør, har behandlingen af persondata også langt hen ad vejen med vanens magt at gøre. Fra vi har vænnet os til at udføre vores arbejde på en særlig måde, skal vi pludselig opbygge andre vaner, for at beskytte data bedre. Det er - ligesom med cigaretten - noget der kræver justering og tilvænning - eller afvænning. Vi har været vant til, at data var en god ting at ligge inde med, fordi det på et eller andet givent tidspunkt kunne være gavnligt. Men forordningen vil noget andet, og det er der en absolut fornuftig årsag til: styrke din og min retssikkerhed og privatliv, og give kontrollen over oplysninger tilbage til borgeren. 

Digitalisering og dataetik

I takt med digitaliseringens stadig større udbredelse, har vi efterhånden så mange platforme at afgive oplysninger på og interagere med hinanden, at vores privatliv er meget eksponeret digitalt. Virksomheder har skabt forretning på at bruge den data til at lære os at kende, og benytte det kendskab til markedsføring. Måske du har bemærket nogle af de seneste verdenskendte eksempler på, når virksomheder går for langt. Uanset vil forordningen være årsagen til, at fremtidige initiativer bygges og bearbejdes med tanke på borgernes privatliv. Med i den vurdering ligger også, at vi kan se en øget prestige i ’ordentlighed’, bredt set. Det være sig med hensyn til miljø og bæredygtighed, socioøkonomiske og økonomiske hensyn eller - og nu i højere grad - et hensyn til privatlivet. Det er en fælles opgave at styrke privatlivet og databeskyttelsen, og det kræver at vi har det på agendaen løbende, og beslutter os for at få de gode vaner ind i vores arbejdsliv og vores hverdag.

Herfra og fremover

Hører din virksomhed til dem, der endnu ikke har sat compliance-arbejdet i gang, kan det kun anbefales, at I starter nu. Sådan kommer I i gang:

  1. Udpeg en projektansvarlig
  2. Få overblik over, hvor I har persondata
  3. Få overblik over databeskyttelsesforordningen: find den på Datatilsynets hjemmeside. Herunder de relevante vejledninger. Skal I fx have en DPO tilknyttet? Hvis ikke, kan I kontakte en konsulent eller udpege en databeskyttelsesperson internt, som skal føre projektet til dørs
  4. Lav et skema over alle datastrømme: start fx med HR-data eller økonomi og bevæg jer videre - følg persondata, og skitser dem i det format, der nu passer jer (word dokument, excel osv.) Der er ingen formkrav til fortegnelsen, som er det dokument, som skal illustrere hvordan I behandler data, og som relevante myndigheder skal se, hvis de kommer forbi
  5. Skriv ned undervejs, og find ud af hvor I skal rette ind, for at leve op til reglerne
  6. Få overblik over underleverandører og kunder: hvem skal I have en databehandleraftale (DPA) med, og hvem ligger under minimumsgrænsen - nogle leverandører har DPA liggende på websites
  7. Udarbejd procedurer for, hvordan jeres persondata skal behandles - dette skal hele organisationen have kendskab til og agere efter - udarbejd fx en privatlivspolitik til medarbejdere
  8. Implementér de nye procedurer - skab awareness og spred det ud i organisationen
  9. Udøv revision på jeres arbejde og vend tilbage til de procedurer, I har nedskrevet i fortegnelsen for hvordan persondata behandles i organisationen
  10. Vedligehold løbende: læs med i næste afsnit…

Har I allerede kørt et GDPR compliance-forløb, og har I styr på det basale, skal I til at vedligeholde arbejdet. Her er lidt inspiration at hente til jeres initiativer:

  • Få ledelsen og eventuelt mellemled med ombord. Databeskyttelse kræver ressourcer og prioritering. Find ud af hvem der tager hvilke ansvarsområder, og gør arbejdet til en fælles mission der siver ned igennem organisationen
  • Lav en projektplan eller årshjul over vedligeholdsarbejdet, lidt ligesom skemaet på køleskabet - hvem gør hvad, hvornår og hvad er de konkrete opgaver
  • Opgaverne kan variere fra virksomhed til virksomhed, men følgende initiativer kan alle benytte sig af:
  1. halvårlig oprydning i arkiver, mapper, systemer, mailindbakker o. lign.D
  2. datatabeskyttelsesundervisning halv- eller helårligt (intern DPO, projektansvarlig eller ekstern ekspert). Personen kan guide jer igennem nyeste viden, tiltag og vejledninger.
  3. udarbejd en do’s and don’ts liste vedrørende håndtering af persondata ud fra kendskab til forretningen, og udlevér til alle medarbejdere
  4. udpeg frivillig projektansvarlig eller konsulent og opret en intern mailadresse til vedkommende, hvor spørgsmål vedr. håndtering af persondata skal rettes (dette kan også være en DPO’s rolle). Sørg for, at alle får adgang til i de 10 oftest stillede spørgsmål jævnligt.
  5. igangsættelse af nye aktiviteter: i projektplanen over nye indsatsområder, hvor persondata behandles, skal der fremgå en proces, hvor alle touch points med persondata bliver analyseret: det kan gøres med en workshop med de ansvarlige, så de nye aktiviteter designes databeskyttende og dataetisk efter GDPR principper. Kig desuden på organisationens strategi og procedurer for håndtering af persondata: hvad lover I omverdenen.
  6. en fælles indsats er vejen frem, så forsøg at gøre databeskyttelse til en ting, I er stolte af. En årlig oprydningsdag med workshops og undervisning, fælles aktiviteter og indslag. Kreativiteten kender ingen grænser, men vigtigst er, at arbejdet med at blive en databeskyttende organisation bliver noget, som medarbejdere får lyst til at bakke op om. Inkludér, involvér og løs opgaverne i fællesskab og hav projektansvarlige til at facilitere slagets gang.  
  • Hold jer ajour hos datatilsynet for nyeste opdateringer; følg evt. Datatilsynet og øvrige fagpersoner på sociale medier - her er I garanteret en opdatering på det seneste nye
  • Betragt GDPR compliance som en nødvendighed og organisationens databeskyttelse som en prestigefyldt indsats - det vil altid være den gode, økologiske vin, der tager prisen. 

Databeskyttelse er for alle at forholde sig til, hvad enten man vil det eller ej. Er opgaven uoverskuelig kan det være en god investering at hente hjælp udefra.

Hver organisation er forskellig fra hinanden, og der er ikke én løsning at hente til det gode databeskyttelsesarbejde, det skal tilpasses forretningsmodellen og menneskene i organisationen. Man siger, at det bæredygtige princip koster nu og her, men vil sikre dig relevans i fremtiden, præcis ligesom med andre ansvalighedstiltag. Det er værd at overveje, hvor man vil hen med sin organisation, og her kan databeskyttelse sagtens være et område, som særligt de datadrevne organisationer kan sætte sig på. Inden længe vil ikke-EU-lande kigge os over skulderen, og være nødsaget til at følge med på de dataetiske principper. Vi har i EU en fordel - måske en påtvunget én - men en fordel konkurrencemæssigt. Den kan vi med fordel benytte og udnytte.

 

Skrevet af
Anna Lykke Lundholm-Andersen
Managing Partner
/ Comply