GDPR: 3 trin mod compliance

EU’s persondatalov har i 2018 gennemgået de største ændringer i to årtier. Siden kravene blev udformet i 90’erne, er mængden af digital information, som vi opretter, indsamler og gemmer, steget betydeligt. Derfor er der mange gode grunde til at skærpe lovgivning på dette område, som har haltet bagefter.

GDPR står for General Data Protection Regulation (persondataforordningen), og handler om nye krav til håndtering af persondata, og det vil ændre, hvordan offentlige og private virksomheder behandler individers personlige data. Mange af GDPR-principperne er grundlæggende de samme som i den nuværende databeskyttelseslov, Data Protection Act (DPA). Derfor har virksomheder, der overholder DPA, allerede et solidt fundament, som de blot skal bygge videre på. Men der er stadig meget at tage fat på, da der er nogle nye elementer, som kræver ny adfærd hos medarbejderne.

Dette er ikke en udførlig guide, men tre trin, som kan hjælpe, hvis I ikke allerede har forberedt medarbejderne til GDPR, eller som et kig i bakspejlet for at sikre at I er helt klar til EU’s persondatalov.

1) Awareness er afgørende for GDPR-overholdelse

Start fra toppen! Sørg for at ledere, beslutningstagere og nøglepersoner i organisationen er opmærksomme på, at kravene ændrer sig i forbindelse med indførslen af GDPR. De skal have indsigt i den indflydelse, det får i forhold til virksomhedens politikker og procedurer for sikring af persondata. Ledere, beslutningstagere og nøglepersoner har også gode muligheder for at identificere de områder, hvor der kan opstå compliance-brud i forbindelse med GDPR.

Dernæst kommer det til Awareness hos ALLE medarbejdere. Det er vigtigt med ledelsens opbakning, hvis budskabet skal nå ud til medarbejderne. De skal gøres opmærksomme på de ændringer, GDPR medfører, fx ved hjælp af forskellige virkemidler til at skabe awareness – som små gimmicks, plakater, e-mails, møder, quizzer eller lignende.

Både ledelsen og medarbejdere skal også have kendskab til konsekvenserne, hvis de ikke overholder persondataforordningen. Dette omfatter nemlig bøder i en størrelsesorden på op til 20 millioner euro eller 4 % af den årlige omsætning – og samtidigt risikerer virksomheden at få et ordenligt hak i sit omdømme (fx som i artiklen ”SKAT krænker danskernes privatliv”).

2) GDPR-træning

Der ligger et stort stykke arbejde i at leve op til forordningen, især fordi det drejer sig om medarbejdernes adfærd, som skal ændres. Og det er svært! Derfor skal der trænes. Virksomhedens medarbejdere skal have en indføring i, hvorfor forordningen er nødvendig, så de forstår meningen. Derefter skal de have indsigt i, hvad det betyder for den enkelte medarbejder, og hvordan det påvirker deres daglige arbejde.

Organisationen bliver først compliant, når medarbejderne har indsigt i og forståelse for GDPR, både som privatperson, der er interesseret i, at ens egne personlige data er beskyttet, og dernæst som medarbejder, der forstår hvordan deres konkrete handlinger i hverdagen, er medvirkende til at sikre kundernes personlige data.

Gør træningen digital!

Hos Learningbank er vi fortalere for at involvere medarbejderne fremfor blot at informere. Når der skal læres noget nyt, skal medarbejderne engageres i læringen, så de husker, det de lærer – også en måned efter, de har lært det. Nå ja, og så viser studier, at vi bruger mindre tid på at lære, når det er digitalt. Hele 40-60% mindre tid i forhold til traditionel undervisning.

Med digital GDPR-træning kan I skabe virkelighedsnære scenarier, som gør det nemmere for medarbejderne at afprøve og opnå viden om, hvad der er korrekt adfærd i forskellige situationer.

compliance guide

Fire tommelfingerregler til bedre læring

  • Relevant: Sørg for at læringen er relevant for medarbejderen.
  • Tilgængeligt: Tilbyd læring der hvor medarbejderen er – fx på mobilen.
  • Engagerende: Motiver medarbejderen med spilmekanikker og interaktioner.
  • Effektivt: Del læringen op i små bidder, der passer til en travl arbejdsdag.

3) Overblik over de væsentligste ændringer

Individers rettigheder og organisationers forpligtelser bliver afdækket i EU’s 99 artikler om GDPR. Der er ingen facitliste, som automatisk vil gøre en virksomhed GDPR-parat. Men heldigvis er det meste baseret på sund fornuft. Og GDPR er blot en udvidelse og præcisering af, den måde som mange virksomheder allerede i dag arbejder med persondata. Desværre er det langt fra alle danske virksomheder, der overholder den hidtidige persondatalov, hvilket de skærpede sanktioner skal være medvirkende til at forhindre fremadrettet.

Alligevel kommer der nogle væsentlige ændringer i forbindelse med den nye forordning. I kan give virksomheden og medarbejderne et forspring med et overblik over nogle af de væsentligste ændringer. Eksempler:

  • IP-adresser og cookies skal behandles som personlige data.
  • Større krav til dokumentation og sporbarhed i forhold til, fx, hvor data stammer fra.
  • Øgede dokumentationskrav, fx om at påvise at databehandling er i overensstemmelse med GDPR.
  • Data protection by design/by default: Inddragelse af databeskyttelse i designet af systemer, snarere end som en tilføjelse.
  • Notifikationspligt dvs. brud på persondatasikkerhed skal dokumenteres og indberettes til Datatilsynet inden 72 timer.
  • Krav om Data Protection Officer (DPO)

I kan fx afdække virksomhedens nuværende compliance-niveau i forhold til de nye ændringer, derefter kan I identificere risikoområder, hvor I ikke opfylder kravene på nuværende tidspunkt. Derfra kan der udarbejdes politikker og procedurer, som sikrer, at I overholder kravene.

Sidst men ikke mindst

Vores læringsteam har skabt et lærerigt og sjovt læringsspil om GDPR sammen med Topdanmark, som I også kan få fingrene i.

Det er et interaktivt læringsspil, som vil tage dig med rundt i et virtuelt kontorlandskab, hvor du løbende skal løse GDPR-relaterede opgaver, i tråd med hvordan en typisk arbejdsdag kunne se ud. På den måde vil du nemlig bedre kunne huske, hvad du har lært.

Lyder det som noget for jer? Så klik her og kig forbi vores GDPR-side.