GDPR: På Færøerne skal de være compliant 1. januar 2021

Publiseringsdato: 
11/11/2020
Jacob Høedt Larsen
PR & PA

Læs mere om forfatteren

Alle GDPR-ansvarlige kan huske foråret 2018, hvor de knoklede hårdt for at blive klar til EU’s persondataforordning, i daglig tale GDPR. Virksomhederne skulle have overblik over it-systemer, leverandører og politikker, og tage stilling til, hvad man ville gøre, hvis en registreret bad om indsigt i sine data. Det arbejdspres oplever de på Færøerne lige nu. Den 1. januar træder deres persondatalov - som tager udgangspunkt i EU-forordningen - nemlig i kraft.

I den forbindelse var Wired Relations’ Senior Compliance Officer, Lene Gram Skjoldager, på Færøerne og tale om de danske erfaringer med implementeringen. Hun havde et klart budskab:

"Der er ikke ret mange, der mener, at persondata er fantastisk. I Danmark var det sådan, at dem der var på toilettet på det møde, hvor det blev besluttet, hvem der skulle være ansvarlig for persondata, blev ansvarlige for området. Men, man kan faktisk godt gøre folk glade for det. Så I behøver ikke være helt deprimerede,” sagde hun.

Over 60 mennesker var fremmødt til det corona-venlige event

En konkurrencefordel

Lene Gram Skjoldager fremhævede tre områder, hvor virksomheder og offentlige organisationer kan få gavn af at arbejde struktureret med persondata: 

  • Inden for IT-sikkerhed
  • Som en tilgang til forbedret datakvalitet og 
  • Som værktøj til intern forandring.

“IT-sikkerhed er det nye sort. I Danmark er det blevet et konkurrenceparameter. Folk undersøger det i dag, og de går udenom dem, der ikke har styr på sikkerheden,” sagde hun blandt andet.

Hun mener samtidig, at det er en oplagt mulighed for at skabe intern forandring i organisationen. Hun delte historien om en virksomhed, hvor man i et system registrerede de pårørende til medarbejderne:

Lene Gram Skjoldager, Joan Sørensen og Emil Rønnebech

“Når der blev ansat kønne, unge kvinder, var der pludselig en stor aktivitet inde i systemet, fordi man ville se, om de pårørende til den ansatte var forældre, en kæreste eller mand. Det må man selvfølgelig ikke. Jeg siger ikke, at jeres virksomheder har sådan et lokalt Tinder, men det er godt at rydde op,” sagde hun.

Kom godt i gang med data governance

Lene Gram Skjoldager havde også gode råd om, hvordan de færøske persondata-ansvarlige skulle håndtere arbejdet med at blive klar 1. januar.

“Det helt overordnede emne er ansvarlighed. Min bedste anbefaling til jer er, at I skaber jer et overblik over, hvilke systemer I har. Så får I det bedste udgangspunkt for at få overblik og komme igang,” sagde hun.

Ifølge Lene er det altså vigtigt at strukturere arbejdet fornuftigt, og ifølge hende handler det om:

Først at skabe overblik over IT-systemer og leverandører. Det overblik er nemlig hele grundlaget for at komme i mål med arbejdet. Mange bliver overraskede over, hvor mange IT-systemer, de rent faktisk har og bruger til daglig. Her kan du læse mere om, hvordan du gør det i praksis: Sådan identificerer man alle sine systemer og leverandører.

Herefter skal der udarbejdes en fortegnelser over behandlingsaktiviteter (Artikel 30). Lene kunne fortælle, at det er praksis i Danmark, at Datatilsynet i første omgang beder virksomhederne om at sende deres fortegnelser forud for kontrolbesøg. Derfor er fortegnelserne helt centrale. Du kan læse mere om, hvordan du udarbejder dem i denne artikel, som Lene har skrevet tidligere: Datatilsynets opdaterede vejledning om fortegnelser. Her kan du også bestille et eksempel på, hvordan en fortegnelse bør se ud.

Når overblikket er der, er det tid til at udarbejde politikker for blandt andet behandlingen af indsigtsanmodninger og sletteregler. 

Arbejdet med GDPR slutter ikke her

Arbejdet med persondataloven slutter ikke 1. januar. Lene Gram Skjoldagers gode råd til de færøske virksomheder og offentlige organisationer er at dokumentere det, de gør - også efter 1. januar:

“Det er for eksempel en god ide at dokumentere, hver gang du laver undervisning for dine ansatte. Når der sker noget, kan man så sige: “Ja, det kan godt være at medarbejder det og det gjorde det, men vi havde faktisk fortalt det,”” siger hun.

Derudover mener hun, at der er brug for at dokumentere:

  • Hvornår og hvordan man fører tilsyn med eksterne databehandlere
  • Den interne audit
  • En log over brud på persondatasikkerheden
  • Besvarelser af indsigtsanmodninger og
  • Sletning af data

Der er to grunde til at dokumentere: For det første kan man få en ide om, hvor det er muligt at forbedre sine systemer og politikker. Hvis der eksempelvis sker mange brud på persondatasikkerheden, fordi ansatte kommer til at sende til forkerte mailadresser, så kan man have fokus på dét.

For det andet kan man løbende dokumentere sine tiltag over for Datatilsynet og virksomhedens ledelse.

“En af DPO’ens fornemmeste opgaver er jo at lave en årlig rapport til direktionen. Dette er nemlig punkter, som de ønsker at vide noget om. Så når du har skrevet det ned i løbet af året, bliver det nemmere, når du skal lave rapporten. Derfor er dokumentation af dine aktiviteter en rigtig, rigtig god hjælp,” slutter Lene Gram Skjoldager.

Flere blogs indenfor området

Se alle blogs

Behind the firewall: Susanne Bitter

NIS2-webinarer: Få eksperternes råd til dit informationssikkerhedsprogram

Trend: Sådan får du GRC-samarbejdet til at fungere

Produkt
GRC løsningDatabeskyttelse & GDPRInformationssikkerhed & ISMSSikkerhed & DataIntegrationerOnboardingKommuner
KOM IGANG
PriserOpret gratis kontoBook demo
Virksomhed
Om osKarriereKontakt
Hold dig opdateret
BlogWebinarerPodcastNyhedsbrevProduct newsletterHelp center (engelsk)
Privacy
PrivatlivspolitikCookie deklarationTerms of Service