Viden

Når GDPR ikke længere er nyt– men (stadig) en hovedpine

Virksomheder har siden 2018 været forpligtet til at dokumentere deres behandling af personoplysninger i henhold til GDPR. Og i starten var der fart på: Informationsmøder, udformning af persondatapolitikker, nye processer og procedurer, databehandleraftaler og ikke mindst øjenkontakt med ledelsen, som også skulle prioritere indsatsen. Mange virksomheder kom også i mål – eller næsten i mål – med deres første implementering af GDPR, selvom det måtte ske i en tid, hvor ingen rigtigt for alvor kunne svare konkret på så meget om implementering.

Tidligere

Næste

Fra minimumsoverholdelse til en stærk, integreret GDPR-proces

Selvom baseline og intentionerne kom på plads, er der i mange virksomheder opstået en kløft mellem det lovpligtige og daglig praksis. Er der blevet lavet et årshjul for arbejdet og den jævnlige ajourføring? Er der en proces, som sikrer, at nye informationsaktiver med persondata bliver identificeret? Laves der tilsyn med de involverede databehandlere? Er der ført kontrol med sletteprocedurer?

5 hovedtanker om et systematiseret GDPR-arbejde

Det er selvfølgelig, set fra min stol som senior solution specialist, indlysende smart at integrere handlingsplaner på årsagsanalyse i IPW-systemet.

1# Systembaseret tilgang, fremfor alt

Selvom forordningen om databeskyttelse ikke definerer et specifikt setup med specifikke formater for, hvordan man gør ting, er det kritisk vigtigt at skabe sammenhæng mellem system og processer. Når procedurer, ansvarsfordeling og kontroller styres i ét, samlet system, bliver det langt lettere at sikre, at virksomhedens arbejde med GDPR faktisk også efterleves i daglig praksis. Uden systemunderstøttelse – ja, og ledelsesforankring – bliver opgaven reaktiv frem for strategisk.

2# Hold data og risikovurderinger opdaterede

Klar til mere struktur og sporbarhed i årsagsanalyse?

Lad os tage en snak

Overblik over data – jeres informationsaktiver – og de tilknyttede risikovurderinger bør ikke være noget, der blot laves én gang, og ingen nogensinde igen kigger på. Overblikket skal heller ikke leve i dokumentmapper spredt på drev og enkeltstående filer, der hurtigt bliver forældede. Sørg for, at de er tydeligt forbundet med relevante systemer og leverandører. Ellers mister I overblikket over, hvad der skal gøres – og af hvem. Hvor persondata behandles, og hvorfor – især når nye systemer, leverandører og formål sniger sig ind over tid. Og de gør de jo uundgåeligt.

3# Styrk den GDPR-dokumentation, I skal kunne finde igen

Når der sker en hændelse, eller Datatilsynet måske banker på, skal I kunne trække oplysninger frem. Om ikke øjeblikkeligt, så er det i hvert fald ikke dér, man har brug for at skulle lede. Al dokumentation bør derfor være både korrekt og tilgængelig, nem at opdatere, og søgbar og versionsstyret, så ingen arbejder i gamle informationer. Procedurer skal være kortfattede og med præcise beskrivelser uden unødvendige detaljer.

4# Fordel ansvar – og følg op

GDPR er måske nok det område, hvor de fleste medarbejdere ønsker at melde hus forbi. Men det er en fælles opgave på tværs af system- og procesejere, og det skal kunne mærkes. Involvér jeres medarbejdere ved at uddelegere ansvar på tværs af roller og følg op via konkrete opgaver, påmindelser og deadlines. Så havner GDPR-opgaverne ikke kun i hænderne på en enkelt medarbejder, der i realiteten ikke kan følge med i alle detaljer, når systemer og informationer udvikler sig over tid.

5# Brug hændelser og fejl aktivt i forbedringsarbejdet

Fejl skal ikke håndteres som enkeltstående hændelser. Går noget galt – fx et datalæk, en manglende registrering eller en forældet slettepolitik – så brug det som input til læring og forbedring. Hvad gik galt? Hvordan sikrer vi, at det ikke gentager sig? Har vi processer, der ligner den, hvor der opstod en fejl? At spørge ”de 5 hvorfor” er lige så relevant her som i kvalitetsledelse.

GDPR er ikke en ø. Det hele hænger sammen

Mange opfatter måske stadig GDPR som et reguleringsmæssigt vadehav, men det gør ikke GDPR ret. Det er en nødvendig byrde, der heldigvis smitter grundigt af på andre dele af forretningen. Faktisk kan en struktureret tilgang til GDPR forbedre ikke bare det nødvendige overblik over systemer og persondata, men også virksomhedens informationssikkerhed og risikostyring. Det er med til at underbygge tilliden hos kunder, samarbejdspartnere og myndigheder.

Ja, styrke hele forretningen med gennemsigtighed og kontrol.
Arbejdet med GDPR handler nemlig ikke kun om at have dokumentation – men om at bruge den aktivt. Præcis som i enhver ledelsesstandard. GDPR bliver først til compliance, når registreringer omsættes til løbende handling og kobles med audit, leverandørstyring og risikovurdering.

Måske det er tid til at kigge på at strukturere GDPR-arbejdet mere, så der opnås et samlet overblik og værdifuld læring i organisationen?

Sådan kan IPW hjælpe

Administrér procedurer, roller og opgaver ét sted

Saml politikker, praksis og ansvar i én sammenhængende struktur, så roller, opgaver og dokumentation hænger tydeligt sammen.

Etablér og vedligehold Artikel 30-registret

Skab en fast struktur for det lovpligtige Artikel 30-register, hvor informationsaktiver, systemer og tilhørende risikovurderinger løbende opdateres.

Gem og styr dokumentation systematisk

Opbevar al dokumentation med automatisk versionsstyring og tydelig historik, så den er søgbar, opdateret og tilgængelig for relevante medarbejdere.

Tildel ansvar, følg op og dokumentér forbedringer

Tildel ansvar og opgaver direkte i IPW, følg op med automatiske notifikationer, og registrér hændelser og afvigelser, som kobles til forbedringsforslag, opdaterede procedurer og regelmæssige revurderinger.

Vil du udnytte mulighederne for at få bygget en implementeret proces for årsagsanalyse ind i IPW?

Det er ganske nemt. Kontakt os i dag og hør mere om dine muligheder.

Kontakt os

Når GDPR ikke længere er nyt– men (stadig) en hovedpine

5 hovedtanker om et systematiseret GDPR-arbejde

GDPR er ikke en ø. Det hele hænger sammen

Andre cases