Trend: Glemmer vi de registrerede i GRC?
Jeg må indrømme noget: Jeg ved ikke nok om, hvad de registrerede faktisk ønsker sig.
.jpeg)
Og hvis jeg skal gætte – så gør du heller ikke.
Det er egentlig ret vildt. For det burde vi vide.
Vi har styr på meget:
✅ GDPR, NIS2 og alle de andre lovkrav
✅ ISO 27001 og 27701 – og alt det framework-halløj
✅ Kravene fra vores B2B-kunder og kontraktpartnere
Men hvad med dem, det hele egentlig handler om – de registrerede?
En lille udfordring
“Jo, jo,” siger du: “Dem kender jeg da godt.”
Så prøv lige at svare på det her: Hvad er de tre vigtigste krav eller ønsker, de registrerede har til dig? Jeg kan ikke svare på det. Kan du?
Mange af os griber nok til lovgivningen:
- De kræver, at vi har et lovligt behandlingsgrundlag! Men mens vi siger det, ved vi jo godt, at det nok ikke er det, de fleste registrerede bekymrer sig om.
- De vil have, at vi har lavet en konsekvensanalyse! Næppe.
- De har et brændende ønske om at læse vores privatlivspolitik. Det er jo derfor, den ligger i toppen af trafikstatistikkerne - ikke?
Sandheden er, at vi ikke ved, hvad de registrerede ønsker sig. Det kunne være:
- Vished for, at vi hjælper dem, hvis deres personlige informationer kommer i hænderne på nogen, der vil dem ondt.
- At vi sletter deres data igen, når vi ikke skal bruge den længere og
- At vi sikrer, at de afgørelser vi træffer om dem sker på et oplyst grundlag - og ikke forkerte data.
Men vi ved det ikke. Og hvorfor gør vi så ikke det?
Vi ved det ikke, fordi vi aldrig har spurgt dem.
Start med at lytte
Jeg vil foreslå noget radikalt, nemlig at vi begynder at tale - struktureret - med dem, vi lidt abstrakt kalder “de registrerede”. I virkeligheden er de jo mennesker, som vi bekymrer os om. Det er vores ansatte, vores kunder og medborgere.
Derfor bør det være en del af GRC-processen, at vi lytter til dem, så vi finder ud af, hvad de tænker er rimeligt og retfærdigt.
Vi får værdi ud af deres data. De har fortjent, at vi også inddrager dem i vores processer og procedurer.
Så simpelt er det - for mig i hvert fald.
Take action:
Det behøver ikke være besværligt.
Hvad med at invitere 4-6 registrerede til en samtale én gang om måneden?
Start med medarbejderne. Lyt. Spørg åbent. Reflektér.
Jeg tror, vi vil opdage to ting:
For det første, hvad vi skal gøre for at blive endnu bedre til at servicere vores kunder og ansatte.
For det andet tror jeg, vi bliver mere glade for vores jobs i databeskyttelse. For de fleste af os handler det jo om det samme: At gøre det bedre for mennesker.
