Transparent
IPW Systems / Viden / Fra minimumsoverholdelse til integreret GDPR-proces

GDPR i compliance
Fra minimumsoverholdelse til en stærk, integreret GDPR-proces

Vidste du?

01/05-2025

Når GDPR ikke længere er nyt
– men (stadig) en hovedpine

Af: Jan H. Andersen, CTO hos IPW Systems A/S

Virksomheder har siden 2018 været forpligtet til at dokumentere deres behandling af personoplysninger i henhold til GDPR. Og i starten var der fart på: Informationsmøder, udformning af persondatapolitikker, nye processer og procedurer, databehandleraftaler og ikke mindst øjenkontakt med ledelsen, som også skulle prioritere indsatsen. Mange virksomheder kom også i mål – eller næsten i mål – med deres første implementering af GDPR, selvom det måtte ske i en tid, hvor ingen rigtigt for alvor kunne svare konkret på så meget om implementering.

Men GDPR var og er ikke en engangsindsats. Selvom baseline og intentionerne kom på plads, er der i mange virksomheder opstået en kløft mellem det lovpligtige og daglig praksis. Er der blevet lavet et årshjul for arbejdet og den jævnlige ajourføring? Er der en proces, som sikrer, at nye informationsaktiver med persondata bliver identificeret? Laves der tilsyn med de involverede databehandlere? Er der ført kontrol med sletteprocedurer?

Mange steder er svaret nej. Der er ikke et kontinuerligt arbejde med GDPR. Resultatet er “papir-compliance”: Alt ser pænt ud på overfladen, men det vil ikke holde i praksis. Compliance-indsatsen er at krydse fingre for, at ingen kommer på besøg og stiller spørgsmål. Derfor er der behov for en tilgang, hvor GDPR ikke er en særskilt øvelse, men en integreret del af hverdagen.

5 hovedtanker om et systematiseret GDPR-arbejde

Virksomheder er – naturligvis – forskellige steder i deres GDPR-arbejde. Lad os derfor prøve at gruppere den nødvendige indsats i nogle hovedpunkter:

1# Systembaseret tilgang, fremfor alt

Selvom forordningen om databeskyttelse ikke definerer et specifikt setup med specifikke formater for, hvordan man gør ting, er det kritisk vigtigt at skabe sammenhæng mellem system og processer. Når procedurer, ansvarsfordeling og kontroller styres i ét, samlet system, bliver det langt lettere at sikre, at virksomhedens arbejde med GDPR faktisk også efterleves i daglig praksis. Uden systemunderstøttelse – ja, og ledelsesforankring – bliver opgaven reaktiv frem for strategisk.

2# Hold data og risikovurderinger opdaterede

Overblik over data – jeres informationsaktiver – og de tilknyttede risikovurderinger bør ikke være noget, der blot laves én gang, og ingen nogensinde igen kigger på. Overblikket skal heller ikke leve i dokumentmapper spredt på drev og enkeltstående filer, der hurtigt bliver forældede. Sørg for, at de er tydeligt forbundet med relevante systemer og leverandører. Ellers mister I overblikket over, hvad der skal gøres – og af hvem. Hvor persondata behandles, og hvorfor – især når nye systemer, leverandører og formål sniger sig ind over tid. Og de gør de jo uundgåeligt.

3# Styrk den GDPR-dokumentation, I skal kunne finde igen

Når der sker en hændelse, eller Datatilsynet måske banker på, skal I kunne trække oplysninger frem. Om ikke øjeblikkeligt, så er det i hvert fald ikke dér, man har brug for at skulle lede. Al dokumentation bør derfor være både korrekt og tilgængelig, nem at opdatere, og søgbar og versionsstyret, så ingen arbejder i gamle informationer. Procedurer skal være kortfattede og med præcise beskrivelser uden unødvendige detaljer.

4# Fordel ansvar – og følg op

GDPR er måske nok det område, hvor de fleste medarbejdere ønsker at melde hus forbi. Men det er en fælles opgave på tværs af system- og procesejere, og det skal kunne mærkes. Involvér jeres medarbejdere ved at uddelegere ansvar på tværs af roller og følg op via konkrete opgaver, påmindelser og deadlines. Så havner GDPR-opgaverne ikke kun i hænderne på en enkelt medarbejder, der i realiteten ikke kan følge med i alle detaljer, når systemer og informationer udvikler sig over tid.

5# Brug hændelser og fejl aktivt i forbedringsarbejdet

Fejl skal ikke håndteres som enkeltstående hændelser. Går noget galt – fx et datalæk, en manglende registrering eller en forældet slettepolitik – så brug det som input til læring og forbedring. Hvad gik galt? Hvordan sikrer vi, at det ikke gentager sig? Har vi processer, der ligner den, hvor der opstod en fejl? At spørge ”de 5 hvorfor” er lige så relevant her som i kvalitetsledelse.

GDPR er ikke en ø. Det hele hænger sammen

Mange opfatter måske stadig GDPR som et reguleringsmæssigt vadehav, men det gør ikke GDPR ret. Det er en nødvendig byrde, der heldigvis smitter grundigt af på andre dele af forretningen. Faktisk kan en struktureret tilgang til GDPR forbedre ikke bare det nødvendige overblik over systemer og persondata, men også virksomhedens informationssikkerhed og risikostyring. Det er med til at underbygge tilliden hos kunder, samarbejdspartnere og myndigheder.

Ja, styrke hele forretningen med gennemsigtighed og kontrol.
Arbejdet med GDPR handler nemlig ikke kun om at have dokumentation – men om at bruge den aktivt. Præcis som i enhver ledelsesstandard. GDPR bliver først til compliance, når registreringer omsættes til løbende handling og kobles med audit, leverandørstyring og risikovurdering.

Måske det er tid til at kigge på at strukturere GDPR-arbejdet mere, så der opnås et samlet overblik og værdifuld læring i organisationen?

Sådan kan IPW hjælpe

Administrér procedurer, roller og opgaver ét sted – med tydelige sammenhænge mellem politik, praksis og ansvar.
Etablér en struktur til det lovpligtige Artikel 30 register, hvor informationsaktiver, systemer og risikovurderinger løbende opdateres.
Gem al dokumentation med automatisk versionsstyring og tydelig historik – og gør det søgbart og tilgængeligt for relevante medarbejdere.
Tildel ansvar og opgaver direkte i IPW, og følg op med automatiske notifikationer, så intet bliver glemt – heller ikke årshjul og regelmæssige revurderinger.
Registrér hændelser og afvigelser, og kobl dem direkte til forbedringsforslag og opdaterede procedurer.

IPW-case_ZPD

ZPD

 Se mere
Tvilum_IPW-case

Tvilum

 Se mere

Alt aktuelt

Der er masser af aktuelle sager i arkivet.

Tilbage til oversigten

Lad os finde den rigtige løsning til din virksomhed

Book et idémøde, se en demo og find ud af, om du vil have mere hjælp fra os. Det koster dig ikke noget.