Indhold

Hvem er tovholder på et GDPR-projekt

Vores erfaring er, at man altid skal tage en større opgave i trin. Mange initiativer strander, fordi folk ikke kan overskue de mange forskellige elementer, der indgår i processen. For at være helt ærlig, oplever vi at kun de færreste synes, at emnet er noget de vil bruge unødig lang tid på.

Det første trin, der skal tages for at komme i gang, er også et af de vigtigste; nemlig at finde den eller de nøglepersoner, der skal stå for de indledende tiltag og agere som tovholder på projektet. Som det gælder på alle større eller mindre projekter, er det projektlederen der har det store overblik, er opdateret med tidsplanen, samt står for tilbagemeldinger til ledelsen.

Det gælder for både større og mindre virksomheder, at hvis rollerne og ansvaret ikke bliver fastlagt fra starten, har projekter det med at sejle, og resultatet bliver derefter.

GDPR-opstart for den større virksomhed

Sidder du i en større virksomhed, vil det oftest være på ledelsesplan, at der træffes beslutninger om, hvilken projektleder og hvilke nøglepersoner, der skal inddrages i opgaven. Min erfaring med flere af vores kunder viser, at der oftest nedsættes en styregruppe, der typisk består af afdelingsledere fra HR, IT, produktion, økonomi, salg & marketing, jura mf.

Det er især vigtigt, at alle afdelingsledere er involverede i udarbejdelsen af overblikket over virksomhedens behandling af personoplysninger også kaldet fortegnelsen over behandlingsaktiviteter, da det er lederne af de respektive afdelinger, der har det samlede overblik over afdelingens brug af persondata og brug af data på tværs af afdelinger. Her er det af stor betydning, at alle samarbejder omkring kortlægning af de typer af personoplysninger, der behandles i virksomheden.

I de indledende faser vil IT-afdelingen ofte være en vigtig spiller, da de ved hvilke IT-systemer, der evt. skal anvendes i implementeringen, men husk på at GDPR er ikke kun IT-afdelingens ansvar. Lovgivningen påvirker hele virksomheden, griber ind i mange forskellige funktioner og kræver derfor involvering af alle virksomhedens afdelinger.

Husk på, at hvad enten du sidder i jura, produktion, HR, marketing, IT eller ledelsen, har du et naturligt medansvar for, at virksomheden samlet set kommer i mål med GDPR.

For at opnå et optimalt resultat, er det vigtigt at der afsættes tid og økonomi til at udføre GDPR-opgaven. Du eller ledelsen skal altså være klar over, at de valgte personer bliver frataget deres normale arbejdsopgaver i den tid, det tager at udføre GDPR-projektet. Der vil derfor være arbejdsopgaver, der bliver udskudt eller forsinket. Når systemet er kørt ind, vil der efterfølgende ikke være det samme behov for skemalagte GDPR-timer. Overvej eventuelt om virksomheden vil have gavn af, i en periode, at hyre en ekstern konsulent til at udføre noget af arbejdet, så at GDPR projektet ikke går i stå.

Vi oplever at når virksomheder først har opnået et overblik over persondata, så dukker der også en masse it systemer og processer op, som ledelsen ikke var klar over -skygge IT og skyggeprocesser. Det er vigtigt at håndterer disse så it-sikkerhed og effektivisering kan fremmes gennem GDPR projektet.

GDPR-opstart for den mindre virksomhed

Arbejder du i en mindre virksomhed er GDPR oftest en opgave, der bliver placeret i administrationen. Vi oplever ofte, at bogholderiet har det overordnede overblik over virksomhedens behandlingsaktiviteter - og med inddragelse af ledelsen i det omfang, der er nødvendigt.

I en mindre virksomhed bliver det nemt en tids - og arbejdsmæssig udfordring at komme i mål med GDPR. Medarbejderen sidder lige pludseligt med en ny arbejdsopgave uden at have tiden og forudsætningerne for at løse opgaven. Tidsforbruget for at løse opgaven tages fra de normale arbejdsopgaver, og der vil som regel ikke være en afløser til at erstatte personen. Medarbejderen vil enten skulle arbejde over eller kommer til at skubbe en arbejdsbyrde foran sig til senere håndtering.

Det er ganske almindeligt, at opgaven bliver udført i samarbejde med en ekstern virksomhed. Det kan for eksempel være virksomhedens revisor eller en ekstern ekspert.

Analysefasen

Den første beslutning der skal træffes i forbindelse med GDPR-implementering er, hvordan den indledende projektøkonomi ser ud. Ja, jeg har lige skrevet at GDPR ikke er et projekt, men de første tre faser ses ofte, som et projekt i en given virksomhed. Dette sker fordi der ofte vil være en række opgaver der kun skal løses indledningsvis. Disse opgaver er det fundament den fremtidige compliance bygges på, og kan derfor ofte styres som et projekt.

Økonomi i GDPR-projektet

En forudsætning for et vellykket projekt er, at ledelsen afsætter de nødvendige økonomiske midler til opgaven. Ved starten af et projekt kan det være utroligt svært at fastlægge et budget - dels er det en ny opgave i virksomheden, så der er intet sammenligningsgrundlag, og der vil sandsynligvis heller ikke være medarbejdere i virksomheden med erfaringer fra et andet GDPR-projekt. Derfor har jeg forsøgt at samle nogle generelle betragtninger her:

Det er selvfølgelig også forskelligt, hvordan udbydere af GDPR-løsninger og -konsulentydelser tager sig betalt, og hvad løsningerne indeholder. Det ændrer dog ikke på, at der skal være et budget af intern tid og ressourcer til eksterne løsninger. Mine generelle betragtninger i forhold til, hvordan økonomi bedst fordeles afhænger meget af den konkrete situation. Derfor har jeg forsøgt at samle nogle generelle betragtninger her:

Hvornår bruger vi intern tid i forhold til ekstern hjælp?

Der er i princippet ikke noget i GDPR der kræver at du skal have hjælp udefra, så det er en reel mulighed at ordne det hele selv. Dog er der nogle områder, hvor man med fordel kan få hjælp udefra. Generelt set vil alle de opgaver der kræver en masse benarbejde være mest kost-effektive at udføre internt, og alle opgaver der kræver specialviden være mest kost-effektive at få udført eksternt.

Et eksempel herpå er kortlægning af virksomhedens arbejdsprocesser, hvor selve arbejdet med at liste dem op og få dem beskrevet er bedst at gøre internt, men kontrol af om arbejdet er gjort korrekt er bedst gjort eksternt. Årsagen er at det nemt kan tage dagevis at sætte sig tilstrækkeligt ind i lovgivningen, til at kunne vurdere om arbejdet er udført korrekt, og eksterne har tilegnet sig denne viden i forvejen og kan derfor meget hurtigere udføre opgave.

Hvem kan hjælpe med GDPR-implementeringen?

Oftest vil man vælge at sparre med et eksternt firma, fordi du kan trække på deres erfaringer og ekspertise og i sidste ende spare mange resurser ved at få den rette hjælp fra starten. Den valgte løsningsmodel skal tage sit udgangspunkt i omfanget af dit GDPR-arbejde dvs. hvor omfattende din virksomhed er; antallet af ansatte; om du har udenlandske aktiviteter, der indebærer behandling af persondata; om din hovedbeskæftigelse er behandling af persondata (IT-host) mm. Der findes forskellige løsninger på markedet, og jeg vil prøve at komme ind på de mest benyttede løsninger.

Revisoren: I mange tilfælde er det muligt at benytte din revisor, da flere revisionskontorer udfører GDPR-opgaver for deres kunder. Oftest aflønnes en GDPR-revisors arbejde på timebasis, og det kræver en høj inddragelse af virksomheden, der skal udfylde diverse skabeloner og skemaer.

IT-virksomheder: Oftest er GDPR ikke deres hovedfokus, IT-virksomheder binder deres kompetencer op på udvikling og implementering af software, udvikling af applikations og lignende. At de vælger at sælger en IT-løsning til brug for at få virksomheder GDPR compliant er ikke ensbetydende med at de har ansatte GDPR-rådgivere, der kan hjælpe dig i spørgsmål der drejer sig om din virksomhed eller lovgivningen, oftest er deres eneste GDPR-uddannelse og erfaring et certificeringskursus. Dog skal det understreges at skal du vælge et system, så er situationen en anden, og en specialiseret GDPR-virksomhed er ofte det bedste valg.

GDPR-Kurser: Som beskrevet før, så kan du også stå for hele implementeringen selv. Vælger du denne vej, så vil jeg kraftigt anbefale noget uddannelse indenfor feltet. Der er forskellige uddannelses- og kursusmuligheder. Alt efter hvordan du beslutter at udføre GDPR i virksomheden, kan I vælge at opkvalificere en eller flere medarbejdere ved at sende dem på et GDPR-kursus.

Der er et hav af kurser indenfor området. Kurserne kan være målrettet dig, der arbejder med IT-sikkerhed og vil vide mere om, hvordan GDPR implementeres i jeres IT-systemer - eller dig, der har en baggrund inden for HR, jura, marketing eller er ansat i en offentlig virksomhed.

Vil du have et hurtigt overblik og bare høre mere om ’hvad persondata er for noget’, afholder mange erhvervscentre gå-hjem-møder, hvor du får en overordnet introduktion til emnet og bliver opdateret med gældende regler og lovgivning omkring GDPR.

Ganske ofte oplever vi, at vores kunder går hjem efter et introduktionsmøde fulde af begejstring og energi, der desværre afløses af opgivenhed, hvis der går for lang tid inden projektet skydes i gang - og så sidder de der ’hvordan var det nu lige, det var jeg skulle starte?’ Så efter en introduktion til GDPR vil det være en fordel for dig at følge den ovenstående fasemodel, så du får struktureret og kontinuerligt arbejdet med opgaven indtil den er færdig.

Skal du i virksomheden have en DPO (Data Protection Officer) tilknyttet, er det en mulighed at sende en medarbejder på en certificeret DPO-uddannelse. Der er kurser flere steder i landet. Lad være med at gå i panik over endnu en arbejdsopgave, da det er relativt få virksomheder, der ifølge loven skal have en DPO.

Skal din virksomhed udpege en DPO?

Online GDPR-portal: Du kan vælge at benytte en cloud-baseret GDPR-portal, hvor det nødvendige materiale er centralt samlet et sted. Du beslutter hvilke medarbejdere, der skal kunne arbejde i portalen, og du kan give gæsteadgang til f.eks. Datatilsynet og din revisor.

Bag sådan et system finder du oftest uddannede konsulenter med erfaring inden for software, jura og HR, så hvis du går i stå eller sidder med ubesvarede spørgsmål, så griber du knoglen og giver dem et opkald. Der er ingen grund til at bruge unødvendig tid, hvis du hurtigt kan få den nødvendige hjælp.

En anden fordel er, at din virksomhed efterfølgende råder over en eller flere medarbejdere med GDPR-viden – medarbejdere, der er opmærksomme på at få styr på implementeringen af nye rutiner, er klar over vigtigheden af oprydning i gamle data, får nye procedurer ind i dagligdags rutiner – samt selv kan foretage kontroller.

Gør-det-selv GDPR: Læs denne guide grundigt igennem og følg trin-for-trin vejledningerne. Du kan også kombinere guiden med et GDPR-kursus eller anvende en online GDPR-Portal, hvor du sagtens kan udfylde alle nødvendige oplysninger selv (en billig og god løsning). Når du har læst bogen, har du nemlig et forspring og kan implementere GDPR, så din virksomhed bliver GDPR compliant.

Når du foretager implementeringen in-house, har du hånd om opgaven fra start til mål, og du ved hvor du finder dokumenterne i dit interne system, hvis Datatilsynet kommer på besøg. Du eller din ansatte har selv løst opgaverne, og det betyder at du ved noget om emnet, kender virksomhedens procedurer, og er opmærksom på nye rutiner og arbejdsgange, der skal registreres i virksomhedens dokumentation.

I gang med GDPR helt praktisk

Du kan med fordel oprette en mappe i Word med din virksomheds navn og persondatafortegnelse – og derefter en række undermapper med navne som du ser på billedet. Det er de undermapper, du efterfølgende arbejder i og udfylder med relevant dokumentation. Det er en fordel at fylde mapperne fra toppen og så arbejde dig igennem rækken.

Husk at have en backup af dokumenterne.

OBS. Vær opmærksom på at flere af mapperne er irrelevante for nogle virksomheder – læs herunder

  • Mappen ’Informationssikkerhedspolitik’ indeholder en beskrivelse af den generelle IT-sikkerhed og er unødvendig for mindre virksomheder. Udvid i stedet afsnittet om sikkerhed i persondatapolitikken.
  • Mappen ’Beredskabsplan’ beskriver handlingsplaner ved databrud etc. Det er ikke nødvendigt for mindre virksomheder - obligatoriske procedurer for anmeldelse af brud kan indføres i persondatapolitikken.
  • Mappen ’Databehandleraftaler’ indeholder aftaler fra de virksomheder, der behandler personoplysninger på vegne af dit firma.
  • Mappen ’Fortrolighedsaftaler’ benyttes efter behov - det anbefales at indgå fortrolighedsaftaler med besøgende, der ikke følges rundt fx rengøring, it-support, håndværkere etc.
  • Mappen ’Garantier ved overførsel til usikre 3. lande’ og SCC-kontrakter gælder for alle virksomheder, som overfører data til usikre 3. lande.
  • Mappen ’Fravalg af Data Protection Officer (DPO)’ anvendes af alle virksomheder, som ligger lige på grænsen til at have pligt til at skulle udpege en DPO.

Når vi skriver ”ikke nødvendigt for mindre virksomheder” er det en vurdering virksomhedens GDPR-ansvarlig må foretage.

Faser i GDPR-implementeringen

For at du kan bevare overblikket, vil det være en fordel at opdele implementeringen i faser. Herunder ser du et forslag til en projektmodel, som indeholder de faser, du med fordel kan bruge til inspiration.

Resultatet af hver fase støtter styringen af implementering hen mod at få virksomheden gjort GDPR compliant, samt hvordan du kan vedligeholde det fremover. Opdelingen i faser sker for at sikre en fornuftig styring og samtidigt reducere kompleksitet. Vores model indeholder fire hovedfaser, der tager udgangspunkt i de generelle erfaringer vi har gjort os, men er din virksomhed kompleks/speciel, kan du med fordel udvide den.

  1. Analyse: Det første du skal finde ud af, er om I vil ordne alting internt eller bruge ekstern hjælp. Dette gøres bedst ved at bruge noget tid på, at sætte sig ind i, hvad der kræves for at blive GDPR compliant. Har du netværk, der kender til GDPR implementering, er det er rigtig godt sted at starte. Ellers er der guides som denne, og selvfølgelig Datatilsynet’s hjemmeside, som kan give et godt fundament. De vigtigste beslutninger i denne fase er at få overblik over opgavens omfang og vurderer om der bør anskaffes et system, ekstern hjælp, deltagelse i kurser etc.
  2. Kortlægning: Når strukturen for projektet er på plads, så starter den indledende kortlægning. I denne fase skal den nuværende situationen kortlægges, og alle arbejdsprocesser, IT-systemer, databehandlere og andre centrale elementer listes op. Når dette er gjort, bliver det muligt at identificere de gaps der er imellem ”den nuværende situation” og ”compliance”. Denne fase vil typiske udmunde i en fortegnelse over behandlingsaktiviteter.
  3. Compliance: Når kortlægningen af den nuværende situation er på plads, så skal de identificerede mangler lukkes. Dette er en fase, der rent tidsmæssigt, er meget afhængig af virksomheden størrelse og kompleksitet. Ved slutningen af denne fase bør virksomheden have udarbejdet GDPR dokumentation herunder databehandleraftaler, privatlivspolitikker, samtykker etc.
  4. Drift og vedligehold: GDPR-compliance er ikke et projekt, men en kontinuerlig opgave der skal arbejdes med i virksomheden. Derfor er det vigtigt at sørge for at de forskellige processer, der har noget med compliance arbejdet at gøre, bliver rettet til, så compliance er noget man arbejder med i det små. På den måde sikres der nemlig både en effektiv og solid compliance i det lange løb. I slutningen af denne fase bør virksomheden have en plan for / et årshjul for hvilke handlinger der skal udføres for at vedligeholde GDPR compliance.

Mellem hver fase er det vigtigt, at de involverede nøglepersoner gennemgår, hvor man står med opgaven, om tidsforbruget kan overholdes, samt om man er klar til at gå til næste fase.

PersondataSupport ApS

Sverigesvej 10
DK-8700 Horsens

CVR-nr. 38582356

PDS Norge as

Fyrstikalléen 3A
NO-0661 Oslo

Org-nr. 916517572

Kontakt - NO

(+47) 922 92 400