SAMARBEJDE MED DEN GENERELLE FORORDNING OM DATABESKYTTELSE
Samarbejde med den generelle forordning om databeskyttelse gennem en fleksibel tilgang
Det er godt at arbejde med GDPR gennem en fleksibel tilgang, da den giver mulighed for løbende at tilpasse arbejdet og opnå viden. Det er almindelig praksis i f.eks. IT-sektoren og det strategiske arbejde.
Hvad betyder en smidig tilgang?
Kort sagt indebærer en smidig arbejdsmetode, at arbejdet udføres i cyklusser, og at der konstant opnås viden med henblik på at kunne tilpasse arbejdet og foretage ændringer i løbet af arbejdscyklussen.
Man bør med andre ord ikke være for stiv på en usmidig plan, men være i stand til at foretage ændringer til enhver tid, hvis det er nødvendigt. Virksomheder, der ønsker at arbejde med GDPR gennem en fleksibel tilgang, bør overveje:
Vision/målsætninger
Formidle en overordnet vision, som alle i virksomheden bør arbejde hen imod.
Forståelse
Skabe en god holistisk forståelse af, hvad der påvirker databeskyttelsesarbejdet, både internt og eksternt. Det kan være let kun at tænke på din egen organisation og glemme, at den er en del af et større system. Derfor er det vigtigt at forstå verden omkring os. Har med andre ord en systemtilgang, som den også kaldes.
Etaper
Det er gavnligt at arbejde i korte faser. Tag med andre ord et skridt, lær af det, og tag derefter det næste skridt. Dette vil gøre det lettere at foretage ændringer i driften og tilpasse arbejdsmåden for hver fase.
Læringsorganisation
Der er normalt flere personer i en virksomhed, der arbejder med forskellige spørgsmål vedrørende GDPR. Jo større virksomheden er, jo mere tages der normalt udgangspunkt i den. Alt fra ledelse, ledere på forskellige niveauer, kundeservicepersonale og andet personale, der er involveret i kommunikation med kunder, leverandører eller lignende. Det er positivt for medarbejderne at dele deres viden med hinanden, så det er godt at opbygge læring som en central del af processen.
Hvad er forskellen mellem at arbejde med traditionel målforvaltning og fleksible arbejdsmetoder?
Den simple forskel mellem traditionel målforvaltning og en smidig tilgang er, at ledelsen fastsætter målet, og at kursen forventes at være lige i en traditionel målforvaltning. I modsætning til en smidig tilgang, som i stedet handler om at opstille en vision og fastsætte milepæle, der er lette at tilpasse under arbejdet i overensstemmelse med de faktiske omstændigheder og de indhøstede erfaringer. Der er fordele og ulemper ved begge måder at arbejde på, men det anbefales at arbejde med GDPR ved hjælp af en fleksibel tilgang i stedet for at anvende traditionel målretning.
Hvornår kan det være nyttigt at arbejde med den generelle forordning om databeskyttelse gennem en smidig tilgang?
Uklart billede af krav
Visse situationer og omstændigheder, der er omfattet af GDPR, kan være i gråzoner. Der kan være manglende klarhed om den korrekte tilgang, hvilket betyder, at den skal afklares gennem retspraksis (vejledende retsafgørelser). I sådanne uklare situationer er det nyttigt at arbejde ihærdigt for let at kunne gennemføre ændringer, hvis der f.eks. sker en præcisering gennem praksis, vejledning fra en databeskyttelsesmyndighed eller EU eller lignende.
Skiftende situationer
Virksomhederne skal regelmæssigt gennemgå deres gennemførte tekniske og organisatoriske sikkerhedsforanstaltninger som krævet i filosofien om indbygget databeskyttelse. Det er vigtigt at tilpasse disse foranstaltninger til praksis og andre regler. Dette betyder dog ikke nødvendigvis, at alt skal være teknisk muligt på én dag.
Komplekse målsætninger
Målene er ikke altid klare, da nye teknologier kombineret med GDPR kan være komplekse at håndtere. AI-forordningen, GDPR og andre forordninger og love, som virksomhederne skal overholde, er f.eks. nødt til at håndtere kunstig intelligens, der er blevet meget populær for nylig.
Formidle visionen til alle medarbejdere
Det er godt at formidle visionen om en smidig tilgang til alle medarbejdere i virksomheden. Dette vil gøre det muligt for dem at gennemføre visionen i deres daglige arbejde og selv analysere, hvordan de kan forbedre udførelsen af GDPR i deres opgaver. Det er i sidste ende personalet, der arbejder med GDPR i praksis, når de udfører deres opgaver.
F.eks.
En vision, som en virksomhed kan have, er at bestræbe sig på fuldt ud at respektere privatlivets fred for kunderne ved regelmæssigt at forsøge at forbedre den indbyggede databeskyttelse. Det er noget, som alle medarbejdere bør være opmærksomme på, så de altid kan stræbe efter at nå den overordnede vision i deres daglige arbejde.
Forsøg at inddrage alle i aktiviteterne
Da mange mennesker i en virksomhed arbejder med aktiviteter, der er omfattet af GDPR, i deres daglige arbejde, er det både et stort aktiv og et stort ansvar. Alt personale, der er involveret i enhver form for behandling af personoplysninger, det være sig ledelses- eller kundeservicepersonale, skal vide, hvordan de udfører deres opgaver i overensstemmelse med GDPR. Det er ikke dem, der skal betale bøder, hvis GDPR ikke overholdes, men virksomheden, der gør det. Det er derfor vigtigt, at de er bekendt med de regler i databeskyttelsesforordningen, som deres opgaver vedrører.
Selv om det er godt, at ledelsen udpeger forskellige roller (f.eks. databeskyttelsesambassadører) og opretter forskellige funktioner (f.eks. et databeskyttelsesudvalg), er det godt, hvis hele aktiviteten også er involveret i arbejdet med GDPR gennem en fleksibel tilgang. En fejl begået af mange virksomheder er, at kun én advokat, IT eller anden særlig funktion bør forsøge at udføre alt arbejde i forbindelse med GDPR. På den anden side kan det være nyttigt at have en eller flere af dem. Det er imidlertid vanskeligt for dem at udføre alt arbejdet, og især hvis det er en stor virksomhed med mange ansatte.
Lære af erfaringer og fejl
Det er godt, at medarbejderne sammen reflekterer over arbejdet med GDPR og drøfter det sammen. Det er en måde, hvorpå medarbejderne kan lære af hinandens erfaringer og fejl. Desuden engagerer den sit personale yderligere i arbejdet med GDPR, hvilket også kan føre til bedre resultater. Udgangspunktet er med andre ord at forsøge at blive en læringsorganisation. For at kunne gøre dette skal de ansatte kunne have tillid til, at de har begået fejl, og korrigere dem. Dette kan grundlæggende ændre deres grundlæggende antagelser.
Indbygget databeskyttelse gennem en smidig tilgang
Virksomhederne skal have databeskyttelse gennem design og gennem standardindstillinger som krævet i artikel 25 i GDPR.
Databeskyttelse gennem design
Indbygget databeskyttelse handler om, at den dataansvarlige tager hensyn til reglerne om privatlivets fred ved udformningen af sine IT-systemer og -procedurer. Virksomhederne skal med andre ord gennemføre passende tekniske og organisatoriske foranstaltninger for at beskytte de behandlede personoplysninger og overholde de øvrige regler i GDPR.
Databeskyttelse gennem standardindstillinger
Virksomheder, der er omfattet af GDPR, skal også tilpasse deres produkt/tjeneste/system for at være databeskyttelsesvenlige. F.eks. ved ikke at have et forudafkrydset samtykkefelt eller ved at gøre det vanskeligt at trække samtykke tilbage. Desuden betyder det, at virksomheden ikke kan behandle flere personoplysninger end nødvendigt til formålet. Desuden skal indstillinger med det højeste niveau af beskyttelse af privatlivets fred være aktiveret som standard.
En fordel ved at arbejde med GDPR gennem en smidig tilgang er, at den letter arbejdet med indbygget databeskyttelse. Dette skyldes, at medarbejderne får mulighed for løbende at analysere arbejdet og forsøge at finde muligheder for forbedringer. Den omstændighed, at GDPR er formuleret på en sådan måde, at virksomheden ikke reelt afslutter sit arbejde med GDPR, men snarere, at den løbende forbedrer sit arbejde og tager hensyn til nye eksterne faktorer såsom nye teknologier eller praksisser, hjælper den med en fleksibel tilgang.
FLERE OPLYSNINGER
5S-modellen er
Et godt udgangspunkt, når man arbejder med GDPR, er at bruge den såkaldte 5S-model. Kort sagt handler modellen om at sortere GDPR-relaterede dokumenter og aftaler, systematisere arbejdet, fjerne unødvendige personoplysninger, standardisere processer og skabe gode vaner i virksomheden. 5S-modellen er god at bruge på arbejdsgruppeniveau i stedet for det individuelle niveau, så medarbejderne kan lære af hinandens fejl og erfaringer. Derudover engagerer det medarbejderne mere, hvilket er en god faktor for at opnå gode resultater med databeskyttelsesarbejdet.