Der er nu mindre end 12 måneder til GDPR D-Day. Den 25. maj 2018 vil der blive indført nye robuste strukturer for alle virksomheder, der behandler personligt identificerbare oplysninger om EU-borgere.
Bøderne for brud på GDPR på 20 millioner euro eller 4 % af den globale årlige omsætning er blevet bredt dokumenteret. Dette er blevet yderligere forstærket med en ny analyse fra det globale managementkonsulentfirma Oliver Wyman, der fandt, at FTSE 100-virksomheder kan risikere bøder på op til 5 milliarder pund om året, hvis de ikke overholder den nye forordning.
GDPR er mere end blot at sætte kryds i kasserne og håbe på det bedste. Det er bydende nødvendigt, at alle virksomheder gør det rigtigt, og nøglen til dette er ansvarlighed.
Behovet for ansvarlighed i forbindelse med databeskyttelse kan spores tilbage til 1980 i de retningslinjer for beskyttelse af privatlivets fred, som dengang blev udstedt af OECD (Economic Cooperation and Development), og som beskrev ansvarlighed som "at vise, hvordan ansvaret udøves, og gøre det kontrollerbart". Denne definition egner sig også til, hvordan GDPR vil være i praksis. GDPR søger at styrke de dataansvarliges og databehandleres ansvar i forbindelse med behandling af personoplysninger.
De foranstaltninger, som organisationer skal indføre, omfatter dokumenterede processer, konsekvensanalyser af databeskyttelse og en datasikkerhedsmetode. De skal også udpege en obligatorisk databeskyttelsesansvarlig for enhver omfattende behandling af personoplysninger og sikre, at der føres ajourførte registre over behandlingsaktiviteter.
Ansvarlighed er grundlaget for GDPR-udrulning
Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) anfører i sit faktablad om ansvarlighed, at ansvarlighed i forbindelse med behandling af personoplysninger kræver:
- Gennemsigtige interne databeskyttelsespolitikker, der er godkendt og godkendt af det højeste ledelsesniveau i organisationen.
- Informere og uddanne alle medarbejdere i organisationen om, hvordan politikkerne skal gennemføres.
- Ansvar på højeste niveau for at overvåge gennemførelsen af politikken, vurdere og over for eksterne interessenter og databeskyttelsesmyndigheder påvise kvaliteten af gennemførelsen.
- Procedurer for afhjælpning af mangelfuld overholdelse og databrud.
Selv om ordet ansvarlighed sjældent optræder i GDPR, er det centrale begreb ansvarlighed grundlaget for hele GDPR.
- Artikel 5: Identificerer den dataansvarlige som den person, der er ansvarlig for at sikre overholdelse af principperne i GDPR vedrørende behandling af personoplysninger Ud over at sikre overholdelse af GDPR-principperne skal den dataansvarlige bevise det via en række procedurer, der gør dataregulering til en verificerbar praksis.
- Artikel 24: Det hedder, at den registeransvarlige skal gennemføre, gennemgå og opdatere organisatoriske processer for at vise, at behandlinger udføres i overensstemmelse med de nye regler.
- Artikel 39: Det hedder, at det er op til den databeskyttelsesansvarlige at "overvåge overholdelsen af denne forordning, af andre EU- eller medlemsstats databeskyttelsesbestemmelser og af den registeransvarliges eller registerførers politikker for så vidt angår beskyttelse af personoplysninger, herunder tildeling af ansvarsområder, bevidstgørelse og uddannelse af personale, der er involveret i behandlingsprocesser, og de dertil knyttede revisioner.
Virksomhederne skal vise, at de overholder reglerne, hvilket indebærer, at de skal praktisere og håndhæve de politikker og procedurer, der er beskrevet i GDPR. Det er op til virksomhederne at opbygge en ramme, som kan danne grundlag for en kultur for beskyttelse af privatlivets fred.
Det betyder en reel ændring af organisationens kultur. Ansvarlighed er ikke noget, der kan være en eftertanke i din GDPR-forberedelse, men skal snarere være kernen i din GDPR-plan nu, i maj 2018 og for evigt.
GDPR-bøder vil ikke kun blive udstedt, når der sker et stort cyberangreb eller en stor begivenhed, men de vil ramme hårdt, når der ikke findes nogen konsekvensanalyse af databeskyttelsen, når der mangler databeskyttelsesansvarlige i en organisation, og når der ikke er mulighed for at indføre en GDPR-livscyklus fra ende til anden. Selv en enkelt manglende brik i puslespillet kan koste virksomhederne enorme summer.
GDPR kræver, at organisationer skal overholde den nye forordning, men den giver også mulighed for at forbedre din virksomhed ved at forpligte dig til etisk brug af personlige data. Du kan bruge denne ansvarlighed til at præsentere din organisation som en bastion for den enkeltes ret til privatlivets fred, hvilket kan spille en afgørende rolle for, om nogen vælger din virksomhed frem for en konkurrent.
Tiden til at handle i forbindelse med GDPR er nu, men det er vigtigt at huske, at enhver plan, du udarbejder, skal have ansvarlighed som en central komponent, så du kan overholde kravene i maj 2018 og fremtidssikre din organisation i de kommende år.