GDPR: Sådan organiserer du GDPR arbejdet i 9 trin

GDPR: Sådan organiserer du GDPR arbejdet i 9 trin

Persondataforordningen kan være en ordentlig mundfuld at sluge. Derfor er det vigtigt, at du deler arbejdsopgaven op i forskellige faser og tager dem en ad gangen.

OBS: Hvis du aldrig har arbejdet med GDPR tidligere, så bør du læse denne artikel først: Hvad er persondataforordningen GDPR (på 1 minut)?

Når du skal i gang med at arbejde med forordningen, kan du lige så godt samtidig få sikkerheden på plads og få styr på virksomhedens kontrakter. I denne artikel kan du læse vores forslag til at få styr på alle delene på én gang.

Du kan organisere arbejdet med persondataforordningen på mange måder. Du skal selvfølgelig gøre det på den måde, som passer bedst i din organisation. Det kan dog være nyttigt at se på, hvordan andre har delt opgaven op, så du sikrer dig, at du kommer hele vejen rundt om forordningen og på den måde samtidig får styr på andre ting, der kan skabe værdi for virksomheden.

Men først skal ansvares for projektet placeres.

1. Ansvar

I første fase skal du beslutte, hvem der skal lede de tiltag, som skal sættes i værk i henhold til persondataforordningen. Det er vigtigt, at der både er visse tekniske og juridiske kompetencer til rådighed. Har du ikke det i virksomheden, må du købe dig til det udefra, eller gøre det så godt du kan, med de ressourcer du har – f.eks. ved at sende medarbejderne i din virksomhed på kursus.

Ledelsen i organisationen skal sørge for, at der udpeges en projektansvarlig, som refererer til ledelsen. Ledelsen skal samtidig erkende, at det ikke er den projektansvarlige, som kan tage alle beslutninger vedrørende et persondataforordningsprojekt. Ledelsen skal beslutte blandt de alternativer, som projektlederen fremlægger. Ledelsen skal desuden afklare, om der er behov for at udpege andre end en projektleder. F.eks. vil det være nyttigt, hvis nogen i organisationen har fået ansvaret for informationssikkerheden.

Projektlederen skal sikre, at organisationen kommer sikkert igennem nedenstående trin. Han eller hun skal desuden varetage den løbende kommunikation ud i organisationen, så de relevante personer inddrages i kortlægninger og beslutninger. Projektlederen skal også sørge for, at ledelsen hele tiden tilslutter sig de tiltag, som iværksættes i forbindelse med projektet.

Afhængig af organisationens størrelse kan projektlederen inddrage virksomhedens administrerende direktør, en projektgruppe med flere direktører og evt. en flerhed af funktionschefer eller decideret rapportere til bestyrelsesformanden.

Så langt så godt – hvis du er projektleder på din virksomheds GDPR-arbejde, så er næste skridt at skabe den indledende opmærksomhed i organisationen.

2. Indledende awareness

Man kan ikke komme for tidligt i gang med at gøre organisationen opmærksom på, at der findes regler for behandling af personoplysninger. Der er i alle organisationer inden et persondataforordningsprojekt masser af forhold, som formodentlig er decideret ulovlige.

Der skal sættes ind på især tre punkter:

  • Ledelsen skal have et summary af reglerne, så de forstår, hvad det drejer sig om, og hvorfor det er vigtigt, at der gøres en indsats. Desuden skal ledelsen have en beskrivelse af de tiltag, som skal iværksættes.
    s
  • Medarbejderne skal ligeledes have et summary af reglerne. Dette summary skal relateres til deres hverdag, så forordningen ikke bliver et abstrakt monster. Det er vigtigt, at de forstår, at de har en rolle i forbindelse med at sikre, at organisationen kan efterleve reglerne.
    s
  • Leverandørerne skal også efterleve reglerne, og det kan være nyttigt at afklare tidligt i processen, om de har gjort sig overvejelser om efterlevelse af persondataforordningen.


“Der er i alle organisationer – inden et persondataforordningsprojekt masser af forhold, som formodentlig er decideret ulovlige,”


Når du som projektleder er i gang med din indledende awareness, vil du højst sandsynligt komme i berøring med medarbejdere, som har en personlig forkærlighed for at beskytte personoplysninger. 

De personer bør du få identificeret i organisationen. Dels fordi de har en større motivation end gennemsnittet til at få projektet til at lykkes, og dels fordi de kan bidrage med nyttig og ærlig information om, hvordan systemer anvendes og processer fungerer i praksis.

3. Den juridiske to-do-liste

Du er nødt til at tilegne dig en basal forståelse af de krav, som forordningen indeholder. Du kan f.eks. konsultere Datatilsynets hjemmeside, læse artiklerne her på hjemmesiden eller prøve at kigge i Wired Relations løsningen, for at få et indtryk af, hvad reglerne indeholder. 

Opret en GRATIS prøveperiode i 14 dage og få overblikket allerede i dag.

Overordnet kan reglerne inddeles i følgende hovedoverskrifter:

  • Principper
    Reglerne indeholder en række grundlæggende principper, som altid skal efterleves. Det er f.eks. en bestemmelse af formålene med at behandle personoplysninger og sletning af oplysningerne igen, når formålet er opfyldt.
    s
  • Retligt grundlag
    Udgangspunktet er, at der ikke må behandles personoplysninger. Der er så en række undtagelser, som sikrer at man under konkrete forudsætninger alligevel kan behandle personoplysninger. Man må f.eks. behandle personoplysninger, hvis to parter har indgået en kontrakt med hinanden, og det er nødvendigt for kontraktens opfyldelse at behandle oplysningerne. En anden mulighed er at bede pænt om lov – også kaldet samtykke.
    s
  • De registreredes rettigheder
    Dem, data vedrører, de registrerede, har en række rettigheder. Disse rettigheder omfatter bl.a. retten til at få indsigt i hvilke personoplysninger, der behandles, og retten til under visse omstændigheder at få slettet oplysningerne.
    s
  • Den dataansvarliges pligter
    Den, som fastsætter formål og midler og behandler oplysningerne, har også en række pligter. F.eks. skal de sørge for god sikkerhed omkring oplysningerne, og de skal sørge for at kontrollere, at deres samarbejdspartnere (databehandlere) også har god sikkerhed omkring oplysningerne.
    s
  • Tredjelandsoverførsel
    I nogle tilfælde skal personoplysningerne føres ud af EU. Det kan f.eks. ske, hvis organisationen benytter sig af en tjeneste i clouden. I sådan et tilfælde skal man også have et retligt grundlag for overførslen.
    s
  • Andre regler
    Persondataforordningen indeholder også en række andre regler. Det er f.eks. regler om, hvordan Datatilsynet skal agere, og hvordan de europæiske datatilsyn skal samarbejde. Disse regler er der for de fleste organisationer ikke grund til at kende ret meget til.

Det er en af projektlederens vigtigste opgaver at forstå reglerne eller at finde en ekspert, som projektlederen løbende kan rådføre sig med. I den anledning er det vigtigt, at organisationen accepterer, at projektlederen får råderum til at opbygge et eksternt netværk, hvor praktiske erfaringer med arbejdet med forordningen udveksles.

4. Sammenhæng mellem forordningen og sikkerhed

Et væsentligt element i at efterleve forordningen består i at skabe en god informationssikkerhed omkring oplysningerne. Derfor kan du lige så godt få gennemgået alle sikkerhedsforanstaltninger, når du nu alligevel er i gang. Det er sund fornuft (men ikke et krav efter forordningen) at gå frem efter en sikkerhedsstandard, som sikrer, at du kommer hele vejen rundt om sikkerheden. De krav, der er til organisationen i forordningen, kan mappes med de krav, der er til organisationen i en sikkerhedsstandard, f.eks. ISO27002. På den måde får du eet samlet regelsæt for begge dele. Med andre ord, slår du to fluer med et smæk.

Du kan blive klogere på informationssikkerhed og ISO27002 her >>

OBS: Som projektleder bør du sikre, at der er it-kompetencer inkluderet i persondataforordningsprojektet.

5. Systemer eller processer

Organisationen skal få et overblik over hvilke systemer, organisationen er i besiddelse af.

Overblikket skal bl.a. indledningsvist indeholde:

  • Et navn på systemet
    s
  • En beskrivelse af hvad systemet laver
    s
  • Hvem leverandøren er inkl. kontaktinformation
    s
  • Kontrakten, som bl.a. beskriver om der behandles personoplysninger, hvor lang tid servicen løber og evt. hvilke oppetid og andre services, som er inkluderet
    s
  • En ejer af systemet i egen organisation
    s
  • En databehandleraftale, som opfylder persondataforordningens krav
    s
  • Interdependens med andre systemer

Når du skal finde ud af, hvilke systemer du har, kan du spørge den person, som har ansvaret for virksomhedens it-systemer. Herefter bør du spørge ud i forretningen, om der bruges andre systemer, som er købt ind udenom it-afdelingen – f.eks. forskellige online services. Endelig kan du indkøbe software, som kan kontrollere hvilke tjenester, der kobles op til ude på internettet.
s

“Herefter bør du spørge ud i forretningen, om der bruges andres systemer, som er købt ind udenom It-afdelingen – f.eks. forskellige online services.”

S
Som alternativ til at kortlægge systemer, er der også nogen organisationer, som kortlægger processer. At kortlægge processer betyder, at du skal tage stilling til, hvor dybt du vil granulere processerne – altså hvor detaljeret du vil gå til værks. Hvis du ikke graver tilstrækkeligt dybt, er der en betydelig risiko for, at der efter en kortlægning af processerne stadig står en række systemer i serverrummet, som behandler personoplysninger, men som ikke er blevet omfattet af en proces, og dermed ikke er blevet kortlagt.

Har brug for hurtig og effektiv kortlægning af din virksomheds brug af systemer? Opret en 14 dages gratis prøveperiode >>

Det er en god ide at benytte lejligheden til at få styr på de leverandørkontrakter, organisationen har indgået. Mange af it-leverandørerne behandler personoplysninger. Og alle dem, der ikke behandler personoplysninger, skal alligevel kortlægges for at fastslå, at de ikke behandler personoplysninger.

Som projektlederen bør du derfor sikre, at alle systemer har mindst én ejer. Ejeren bør være en nøgleperson i forretningen, som er afhængig af systemets funktionalitet. Ved siden af ejeren kan du – afhængig af organisationens størrelse – udpege en teknisk ejer i it-driftsafdelingen, som sørger for den tekniske kortlægning og teknisk vedligehold, og en ejer i direktionen, så du sikrer ledelsesopbakning.

6. Evaluering af lovlighed

Når du har overblikket over dine systemer, og hvad de laver, skal du til at kortlægge systemerne, og de data de indeholder i henhold til GDPR. 

Denne fase er den vigtigste i persondataforordningsprojektet! 

Her skal du basalt set forholde de kortlagte systemer under punkt 5 til den juridiske to-do-liste under punkt 3. Du skal altså for personoplysninger i systemerne se, om de opfylder principperne, om der er retligt grundlag for behandlingerne, om de registrerede kan udleve deres rettigheder, om organisationen kan overholde de pligter, som reglerne pålægger den, og om der sker overførsel til lande udenfor EU og i givet fald på hvilket retligt grundlag.

Når du (projektlederen) oplever en uoverensstemmelse mellem systemerne og lovgivningen skal du udarbejde forslag til mitigering af denne uoverensstemmelse. Forslagene skal forelægges ledelsen, som beslutter hvilken løsning, der skal iværksættes for at efterleve loven.
s

“…er det projektlederens ansvar at ledelsen er opmærksom på, hvilken risiko organisationen løber (f.eks. i form af at modtage bøder) og hvilke risici, der er for de registrerede.”

s
Hvis ledelsen ikke vil efterkomme forslagene (f.eks. ikke vil komme med en tilstrækkelig bevilling til at få løst et problem) og en anvendelse ikke kan gøres lovlig, er det projektlederens ansvar, at ledelsen er opmærksom på hvilken risiko organisationen løber (f.eks. i form af at modtage bøder) og hvilke risici, der er for de registrerede.

7. Organisatoriske og tekniske foranstaltninger

Ved evalueringen af lovligheden, har du givetvis fundet ud af, at organisationen på visse punkter ikke overholder reglerne. Det er derfor nødvendigt at skrive nogle procedurer for, hvordan behandling skal finde sted for at loven kan opretholdes. 

Tilsvarende kan det være nødvendigt med tekniske tiltag for f.eks. at automatisere sletning eller for at øge sikkerheden. De organisatoriske og tekniske foranstaltninger, som iværksættes, skal vedligeholdes, så de altid afspejler det konkrete trusselsbillede, som personoplysningerne står overfor.

Projektlederen vil sjældent have kompetencer eller tid til at håndtere alle projekter selv. Men det er vigtigt, at du, hvis du leder projektet, dels sikrer bevillinger hos ledelsen, og dels kontrollere at andre implementerer de rette foranstaltninger.

8. Bred “Awareness”

Når alt er kortlagt, og de rette foranstaltninger er på plads, skal du til at sikre, at medarbejderne faktisk efterlever reglerne og medvirker til at beskytte personoplysningerne på en ordentlig måde. 

Ingen foranstaltninger er noget værd, hvis medarbejderne forsøger at omgå dem.
s

“Den flittige medarbejder kunne f.eks. finde på at tage kundekartoteket med hjem for at arbejde om aftenen. Den letteste måde at gøre det på, er måske at tage et udtræk og lægge det i Dropbox.”

s
Den flittige medarbejder kunne f.eks. finde på at tage kundekartoteket med hjem for at arbejde om aftenen. Den letteste måde at gøre det på, er måske at tage et udtræk og lægge det i Dropbox. Når det sker, mister organisationen kontrollen med oplysningerne, og på den måde kan organisationen og de registrerede blive udsat for en uacceptabel risiko. Derfor er det vigtigt, at medarbejderne ved, hvordan oplysningerne må behandles.

Der bør iværksættes en awareness-kampagne om reglerne. Medarbejderne bør testes. Desuden kan forskellige kontroller som f.eks. logning vise, hvordan personoplysningerne rent faktisk behandles. 

Som projektleder bør du forelægge dokumentation for medarbejdernes kendskab, forståelse og efterlevelse af reglerne til ledelsen.

9. Arbejdet slutter aldrig

Beskyttelse af personoplysninger er ikke noget, som bare går væk. Det er heller ikke noget, som kan afsluttes endeligt. 

Lang tid efter 25. maj 2018, hvor forordningen fik virkning, er der masser af persondataforordningsprojekter i organisationerne, som stadig kører. F.eks. sletteprojekter, compliance med cookiesamtykket og uddybning af detaljerne i processkortlægningerne. Hertil kommer, at organisationerne hele tiden får nye systemer, der også behandler personoplysninger, og som derfor skal kortlægges. 

Den juridiske praksis ændrer sig også løbende, og kortlægninger og foranstaltninger skal ændres tilsvarende i organisationerne. Persondataforordningsprojektet vil derfor ændre karakter over tid, men det vil reelt aldrig blive afsluttet. Det er projektlederens ansvar at sikre, at organisationen hele tiden er up-to-date med udviklingen.

Hvis du stadig synes, at det virker uoverskueligt at komme i gang, så gå ind og opret en gratis prøveperiode. Så hjælper vi dig i gang… 

Wired Relations platformen hjælper hvert år hundredvis af danske virksomheder med at automatisere GDPR-arbejdet.

Let – Overskueligt – Effektivt.

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin