Tillykke med 1-års fødselsdagen, GDPR!

Tillykke med 1-års fødselsdagen, GDPR!

Af

I dag er det et år siden første formelle anvendelsesdag for GDPR-reglerne i hele EU. Selvom det formentlig er de færreste, der er så begejstrede for GDPR-reglernes indtog, at de ligefrem fejrer etårsjubilæet, synes vi alligevel, at det er værd at markere dagen. Hvad er status nu? Og hvad kommer GDPR-reglerne fremover til at betyde i de danske virksomheder?

Hvordan har det første år været med GDPR-reglerne som en del af din dagligdag?

Besværligt.

Sådan vil mange sikkert svare.

De virksomheder, vi er i berøring med, har ydet en stor indsats for at blive compliant med GDPR-reglerne. Samtidig har det været en hårfin balance at skulle sørge for, at GDPR-reglerne ikke bliver en hæmsko for forretningen.

Nu skal hovedrengøringen vedligeholdes

Den store GDPR-hovedrengøring blev gennemført sidste forår. Det gav os mulighed for at se struktureret på processerne, systemerne og risiciene på tværs af virksomheden.

Opgaven er nu at vedligeholde og bygge videre på al det gode arbejde, din virksomhed har lagt i GDPR-projektet.

Efter en hovedrengøring følger den daglige vedligeholdelse af ”hygiejne-niveauet” – og det er vigtigt at holde fladerne rene, for ellers støver hele hytten til igen.

GDPR-reglerne er et nyt blivende vilkår og en permanent del af det juridiske landskab, virksomhederne kommer til at navigere i fremover. Netop derfor kræver GDPR-reglerne også en kontinuerlig indsats fra din side, hvis du vil være sikker på, at du og din virksomhed er compliant.

GDPR-barren hæves

Det første år med GDPR har naturligt budt på de første tilsynsbesøg og nye vejledninger fra Datatilsynet. Og der begynder at tegne sig mere håndfaste retningslinjer inden for udvalgte fokusområder.

Med mere præcise og konkrete retningslinjer følger også en forpligtelse til at genbesøge din virksomheds håndtering på disse områder, så I aktivt forholder jer til de udstukne retningslinjer og vejledninger – og anvender disse som en del af jeres løbende GDPR-compliance. 

Der er ingen tvivl om, at Datatilsynet i takt med den løbende dialog og erfaringerne fra virksomhederne også bliver mere og mere skarpe på, hvilke indsatsområder de forventer, at vi arbejder med som virksomheder – og hvilket niveau de forventer af os.

Derfor er det vigtigt, at vi løbende evaluerer vores GDPR-indsats, så vi hele tiden er opdaterede og lever op til kravene.

Aktuelle GDPR-fokuspunkter

Men hvad er det så, du skal være opmærksom på fremover?

Nogle af de punkter vi oplever, der er særligt fokus på lige nu, er:

  • Revision af databehandlere: Mange databehandleraftaler blev indgået sidste forår, og det er ved at være tid til, at der bliver gennemført en auditering af dine databehandlere.

    Hvordan gør man så det? Er det med revisionserklæringer eller fysisk inspektion? Og hvad gør man, hvis en eller flere databehandlere ikke lever op til sine forpligtelser? Er man så nødt til at afbryde samarbejdet med den leverandør eller kunde?  Der findes specifikke GDPR-software-tools, som kan hjælpe med at indsamle relevant data til revisionserklæringen eller til audit af databehandlere.

 

  • Slettekampagner: De fleste virksomheder har, udover at etablere en slettepolitik – og procedurer, kørt en eller anden form for slettekampagne rettet mod medarbejderne i løbet af det forgangne år.

    Det kan være en tung opgave at skulle gennemgå mailbokse og arkiver for persondata – og at tage stilling til, i hvilket omfang data må og skal gemmes eller slettes.

    Her kan det være en god og omkostningseffektiv hjælp at benytte nogle af de tools, der er på markedet til at screene for persondata i mailbokse, fællesdrev og de enkeltes pc’ere.

    Tillid er godt. Men i forhold til GDPR-kravene, skal du som virksomhed kunne dokumentere, at der er fulgt op på en god og effektiv måde på, at slettearbejdet finder sted. Ikke blot i forbindelse med hovedrengøringen, men også som en del af de daglige rutiner.

 

  • Top of mind hos dine medarbejdere: Går dine kolleger op i at overholde GDPR-reglerne med liv og sjæl?

    Hvis ikke, er medarbejderne i din virksomhed, som medarbejdere er flest. Der ligger en stor opgave i at skabe awareness hos dine kolleger og i at sikre, at de håndterer persondata korrekt.

    Men hvordan får du persondata til at blive top of mind hos dine kolleger fra Salg, og hvordan får du din kollega fra Regnskab til at håndtere persondata korrekt?

    Det kræver en vedvarende indsats med løbende awareness-kampagner, indtil de nye rutiner sidder helt under huden.   


Har du brug for en hjælpende robothånd?

At komme i mål med GDPR-projekterne og i gang med en effektiv GDPR-drift har krævet mange ressourcer og rigtig mange manuelle arbejdstimer i mange virksomheder.

For at kunne generere risikorapporter og dokumentation er det ofte nødvendigt at hive data fra mange forskellige systemer, og det kan være en tung og manuel proces, som skal gentages mange gange på et år.

Heldigvis er der værktøjer, der nemt og effektivt kan hjælpe, og hvor antallet af systemer og variationer af rapporter ikke er nogen hindring.

Derudover bearbejder disse værktøjer systematiske og ensartede forespørgsler hurtigere end almindelige medarbejdere. Du kan sætte dem til at indhente alle data på en anmodning, organisere dem og levere dem i en pæn folder eller mail til den, som forespørgslen kommer fra.

Dette værktøj er RPA-software.

RPA står for Robotics Process Automation og er et simpelt koncept: En robot, der kan automatisere regelbundne og systematiske processer, via en Windows-brugers egen skærm eller en virtuel maskine på en server.

Robotsoftwaren tilgår ganske simpelt de systemer, hvorfra den skal hente data og udfører forespørgslen på persondata, hvorefter den gemmer data på den måde, du ønsker, den skal gemme dem på.

Ganske enkelt en automatisering af den måde, som en medarbejder selv ville håndtere en konkret GDPR-opfølgningsopgave på.

Hos Basico bruger vi værktøjet Foxtrot, som, udover at kunne løse udfordringerne med GDPR-opfølgning, også er nemt at lære for den almindelige bruger.

Det betyder, at I selv kan varetage, optimere og supportere den løsning, vi laver til jer.

Ligeledes er robotten, når den ikke er i gang med en GDPR-relateret opgave, i stand til at varetage adskillige andre processer – i f.eks. økonomifunktionen, HR, Legal & compliance.

Den kan dermed være produktiv – også uden for GDPR-projektet.

Hvorfor ikke sætte en robot til at klare alt det kedelige, manuelle arbejde, så dine medarbejderes tid kan blive frigjort til andre opgaver?

Udover at automatisering kan frigøre dine medarbejderes tid, kan automatisering også hjælpe dig med at højne dokumentationsniveauet og reducere fejlmarginen.


Har du brug for sparring?

Har du brug for sparring eller inspiration til at kortlægge opgaverne i næste fase og udarbejde processer, så kan Basico hjælpe dig. Basico tilbyder at være enten den drivende ressource på projektet eller en ekstra ressource i virksomheden.

Kontakt Trine Vissing, Partner, Legal Services på tvissing@basico.dk eller 5351 1125.

Vil du være et skridt foran dine kollegaer?

Tilmeld dig Basicos nyhedsmail og få inspiration til forandring og udvikling. 

Du modtager samtidig abonnement på online-udgaven af Content, Basicos faglige magasin, hvor vi i en række spændende artikler inspirerer dig og din virksomhed til at skabe et stærkt fundament for vækst og udvikling.

TIlmeld dig her