Kommunikation og samarbejde i centrum for GDPR-arbejdet i Next

By 
Jacob Høedt Larsen
February 21, 2022

I 2018 havde de ansatte hos uddannelsesinstitutionen Next, ligesom i resten af Danmark, travlt med at implementere GDPR. Der blev ansat én til at drive processen og implementere det nødvendige – og meget blev udført i Excel-ark.

På det tidspunkt var Mikkel Emil Albrechtsen selvstændig og kendte ikke meget til GDPR og personoplysninger. Men så blev han ansat i IT-afdelingen i Next og begyndte at kigge på GDPR.

“Jeg begyndte at kigge ned i det, og fandt ud af, at der var nogle ting, som kunne gøres nemmere. I den forbindelse byggede jeg et ”kontraktsstyringssystem”, for at skabe overblik over systemer, leverandører og dertilhørende dokumentation og opgaver, så jeg selv kunne finde ud af, hvordan jeg kunne uddele nogle opgaver,” siger Mikkel

Han er dog også klar over, at selvbyggede systemer og regneark ikke er en god løsning, når kravet er, at systemerne skal være brugbare for kollegaer i 12 forskellige afdelinger på tværs af Storkøbenhavn.

Som han selv udtrykker det: “Det var ikke særligt brugervenligt, så det kunne hurtigt blive noget, der udvikles i IT og dør i IT.”

Arbejdet med behandlingsaktiviteterne

Mikkel Emil Albrechtsen overtog altså arbejdet med at sætte struktur på GDPR-processen, og han indså, at nøgleordene var samarbejde og kommunikation. Mikkel kiggede derfor på markedet for GDPR compliance-systemer.

“Det var dér, rejsen startede. Og det blev meget mig, der drev det. Det var mig, der var engageret i at få migreret data ind. Jeg lavede et systemoverblik og fik samlet alle vores aftaler, så der var et fundament. Og så kunne vi begynde at skrive behandlingsaktiviteteter ind. Det var den udfordring, der kom til at fylde mest, men det væsentlige var, at jeg med Wired Relations´ software kunne drive en relativt stor opgave alene. Jeg kunne forberede systemoverblik og dertilhørende personoplysninger, og på forhånd tage stilling til relevante emner inden for de forskellige områder. Det betød, at spørgerammen kunne udfyldes af dem, der har viden om selve behandlingen, men som ikke nødvendigvis har stor viden om lovgivningen. Samtidig blev det tydeligt, at jeg havde gjort et forarbejde og ikke bare forsøgte at smide arbejdsbyrden over på resten af organisationen” siger han i dag om processen

I alt er der 12 forskellige afdelinger i Next, som i 2018 alle skulle bidrage med input til behandlingsaktiviteterne. Det var her, han benyttede Wired Relations-softwaren og de spørgerammer, der ligger i systemet, til at skubbe opgaven ud til de enkelte afdelinger.

“Det er vigtigt, at entry level er lav. At systemet er nemt at forstå og gå til,” udtaler han om opgaven.

Samarbejde på tværs

Mikkel holdt møder med alle afdelingerne for at introducere dem til spørgerammerne, og flere af dem mente, at det var så nemt at gå til, at de selv ville ordne det. Det lykkedes også for de fleste.

“Det systemet kan, er det kommunikative og generelt at gøre arbejdet nemmere. Nogen synes, at arbejdet med behandlingsaktiviteter er kedeligt, og det synes jeg også, det er. Men dem, der kunne huske excel-arket, sagde: “Det dér er klasse Mikkel", fortæller han, og fortsætter så:
”Noget af det gode ved spørgerammen er, at den kan besvares lidt ad gangen og af forskellige personer – f.eks. kunne nogle indskrive 60%, og med afsæt i dét, kunne de bede mig om at kigge på resten."

"Her blev det mere konkret for mig, hvilke udfordringer, der var svære at beskrive. Det medvirker også til, at man kan arbejde mere fleksibelt: hvis en afdeling f.eks. gav sine inputs en sen eftermiddag, kunne jeg møde ind næste dag og forsætte med de enkelte spørgsmål og emner, som jeg kunne hjælpe med." 

Det var dog også dér, at Mikkels tidsplan begyndte at skride. Selvom Wired Relations-systemet kan gøre det lettere at blive GDPR compliant, så er det stadig en stor opgave at beskrive alt det, man gør - og samtidig tage stilling til vanskelige juridiske spørgsmål. Derfor var der afdelinger, som hang i bremsen.

“Jeg havde sat en deadline slut oktober. Der begyndte jeg at booke 2-3 timers møder med de involverede og sagde: Hvis I ikke har nået det, så sætter vi os ned sammen, smider spørgerammen op på en storskærm, og så skriver vi det sammen. Og det var sådan, vi kom i mål,” fortæller Mikkel.

Compliance er altid "on-going"

Når Mikkel skal sætte ord på, hvad Next har fået ud af arbejdet, slår han fast, at det ikke er slut endnu:

“Først og fremmest har vi fået samlet dokumentationen i forhold til lovkravene. Det har gjort det nemmere for os at leve op til de forpligtelser, som følger med. Men i min optik er præmissen, at man aldrig er 100% compliant, for i morgen er der et nyt sikkerhedsbrud, nye udviklingspotentialer, en ny forespørgsel fra en registreret. Så compliance er altid ”on-going”. Vi har rigtig mange systemer, samarbejdspartnere, og platforme, vi benytter. Efter at have gennemtrawlet disse og migreret data ind i Wired Relations, er det også blevet mere tydeligt, hvad det kræver forsat at opretholde en tilfredsstillende grad af sikkerhed. Dette her kan medvirke til bedre at kunne prioritere fokus vedr. IT-sikkerhed ift. de interne ressourcer, der skal tage sig af compliance”, slutter han.

Om Next:

Next udbyder:

  • 40 erhvervsuddannelser
  • 10 eux-uddannelser
  • 4 gymnasieuddannelser fordelt på 6 gymnasier  
  • 5 retninger i 10. klasse
  • 200 kurser

Next underviser 40.000 elever på 12 skoler i hele hovedstadsområdet.

Flere blogs indenfor området

Se alle blogs

Reflektioner fra Privacy Space Live: Lovgivning er vigtig - andre ting betyder mere

Sådan mestrer du DPIA-processen

Få styr på DPIA-processen: 7 trin til succesfuld implementering af nye systemer