De fleste af os, der arbejder i virksomheder, som behandler personoplysninger, er nu klar over den bombe, som "GDPR" er. Denne længe ventede databeskyttelsesforordning træder i kraft om blot tolv måneder den 25. maj 2018. For mange organisationer er der et stort spørgsmål om, hvordan man bedst begynder en GDPR-forberedelseskampagne, og hvilke nøgleområder man skal fokusere på. Det kan virke som en skræmmende opgave, når man tænker på, at konsekvenserne af at undlade at opfylde kravene er så alvorlige: det er bøder på op til 20 millioner euro eller 4 % af den globale årlige omsætning.
Men frygt ikke! Vi har lavet en hurtig guide med de fem største udfordringer, som mange virksomheder står over for, når de starter en GDPR-kampagne, og vi har også råd om, hvordan de bedst kan overvindes.
1. Skabelse af bevidsthed om GDPR i hele organisationen
Vores råd: Få de vigtigste aktører med om bord og udarbejd en bevidsthedsplan.
Som et gammelt ordsprog siger: Hvis man ikke forbereder sig, forbereder man sig på at fejle. Sørg for, at beslutningstagere og vigtige interessenter i din organisation er klar over, at loven er ved at ændre sig, og sørg for, at de på højt niveau får opbakning. Det vil være en stor fordel for dig at have en ledende sponsor, hvis opgave det vil være at være fortaler for kampagnen og sikre, at den forløber gnidningsløst.
For at kickstarte dit GDPR-projekt anbefaler vi også, at du starter med at kigge på din organisations risikoregister, hvis du har et sådant. Hvis ikke, vil det være et praktisk værktøj at udarbejde, når du begynder din GDPR-rejse.
Husk, at tiden er altafgørende. Begynd så hurtigt som muligt for at undgå panik i sidste øjeblik, og brug det følgende år til at skabe opmærksomhed om de kommende ændringer. Vores GDPR eLearning-kursus er et godt sted at starte, når du skal skabe opmærksomhed blandt dine medarbejdere.
2. Vurdering af nuværende databehandlingsmetoder og tilpasning af disse til GDPR-forventningerne
Vores råd: Start med at identificere og notere, hvilke personoplysninger du har, hvor de kommer fra, og hvem du deler dem med. Dokumentér også alle allerede eksisterende foranstaltninger til overholdelse af reglerne.
Vi anbefaler, at der gennemføres en informationsrevision. Hvis du f.eks. har unøjagtige personoplysninger og har delt dem med en anden organisation, skal du give den anden organisation besked, så den kan ændre sine egne optegnelser. Det er derfor vigtigt at vide, hvilke oplysninger du har, og til hvilket formål du bruger dem. Det er også vigtigt at følge de ændringer, du foretager i forbindelse med databehandlingsaktiviteter for at opnå GDPR-overholdelse. Det vil hjælpe dig med at bevise, at du overholder GDPR's ansvarlighedsprincip.
3. Udnævnelse af en databeskyttelsesrådgiver
Vores råd: Find ud af, om udnævnelsen af en DPO er et obligatorisk eller ønskeligt krav for din organisation. Ideelt set bør der udpeges en person, der kan tage ansvaret for overholdelse af databeskyttelsesreglerne, da risikoen for overtrædelse af GDPR medfører en så høj bøde.
De organisationer, der skal udpege en databeskyttelsesrådgiver, omfatter offentlige myndigheder og organisationer, hvis aktiviteter indebærer regelmæssig og systematisk overvågning af registrerede personer i stor skala. Det er vigtigt at sikre, at en person i din organisation eller en ekstern databeskyttelsesrådgiver tager det fulde ansvar for din overholdelse af databeskyttelsen. De vigtigste egenskaber, der er nødvendige for rollen, omfatter viden, støtte og autoritet til at forvalte databeskyttelse effektivt.
Det er også tilrådeligt at udarbejde en kommunikationsramme, så snart du har udpeget din databeskyttelsesansvarlige. Her bør det fremgå, hvem der skal rapportere til hvem, og hvor denne rolle skal placeres i din organisations struktur for at undgå forvirring.
4. Implementering af nye databehandlingsmetoder
Vores råd: Dokumenter og implementer nye politikker og procedurer for overholdelse og uddanner dit databehandlingsteam i overensstemmelse med disse nye foranstaltninger. Gennemgå alle eksisterende kontrakter og samtykker og opdater dem i overensstemmelse med GDPR.
Disse skal tage hensyn til vigtige ændringer, herunder oplysninger om privatlivets fred, forbedrede individuelle rettigheder og anmodninger om aktindsigt samt samt samtykke.
Gennemgå dine nuværende meddelelser om beskyttelse af personlige oplysninger, og udarbejd en plan for at foretage de nødvendige ændringer i god tid inden GDPR-implementeringen.
Tjek dine procedurer for at sikre, at de dækker alle de nye udvidede rettigheder, som enkeltpersoner har i henhold til GDPR, herunder hvordan du sletter personoplysninger eller leverer data elektronisk og i et almindeligt anvendt format.
Opdater dine procedurer og planlæg, hvordan du vil håndtere anmodninger om aktindsigt inden for den nye frist på en måned.
Gennemgå, hvordan du søger, indhenter og registrerer samtykke, og om du har brug for at foretage ændringer. Husk at dokumentere alle ændringer, der foretages. Husk også på, at GDPR også vil ændre, hvordan personoplysninger, der tilhører børn, vil blive behandlet. Det er tilrådeligt at begynde at overveje allerede nu, hvilke systemer du kan indføre for at verificere personers alder og indhente samtykke fra forældre eller værge til databehandlingsaktiviteter.
5. Identificering og forståelse af, hvordan man håndterer et databrud
Vores råd: Få indført klare procedurer for anmeldelse af databrud, der gør det muligt for dig at opdage og rapportere bruddet inden for den nye tidsramme på 72 timer.
Opret et internt register over brud på datasikkerheden for at logge og følge efterforskningen af eventuelle brud på datasikkerheden, der forekommer. Det er også vigtigt at vurdere, hvilke data du ligger inde med, som kræver anmeldelse, hvis der skulle ske et brud.
Sørg for, at dine partnere og leverandører er klar over deres ansvar for at give dig besked om alle potentielle og bekræftede brud på deres side.
Er du stadig overvældet? Gå ikke i panik! Der er stadig tid til at få styr på dit GDPR-program. Hvorfor ikke arrangere en snak med vores brancheeksperter og opdage de fordele, som vores nye produkt 'MetaPrivacy' vil give dig, når du forbereder din organisation til GDPR-overholdelse. Vi har også to GDPR eLearning-kurser til rådighed til at uddanne vores personale og hjælpe din GDPR- bevidsthedskampagne.