Informasjon om GDPR
Overordnede arbeidsmetoder med GDPR
Det finnes flere horisontale arbeidsmetoder med GDPR som kan være nyttige å kjenne til og bygge videre på.
Et godt utgangspunkt er å involvere alle i aktivitetene
Det er bra å involvere alle i aktivitetene i arbeidet med GDPR. Ledelsen jobber med GDPR på et strategisk nivå, men det er de ansatte som jobber med GDPR i praksis i sitt daglige arbeid. Derfor kan ansatte ha svært gode ferdigheter og kunnskap om hvordan man kan forbedre og effektivisere databeskyttelsesarbeidet. I tillegg kan det å involvere ansatte og få dem til å føle at de bidrar til forbedringer være gunstig for arbeidsmoral, kreativitet og arbeidsmiljø.
Noen horisontale arbeidsmetoder med GDPR
Arbeide smidig med GDPR
Det er godt å jobbe smidig med GDPR, for enkelt å tilpasse databeskyttelsesarbeidet til eventuelle endringer. I tillegg kan det gjøre det lettere å forbedre arbeidet med jevne mellomrom og involvere ansatte i det, noe som blant annet kan øke kreativiteten. Lett forklart er en smidig tilnærming når du arbeider i ulike stadier mot en helhetlig visjon. Mellom stadiene er det rom for å analysere arbeidet og forbedre det for neste trinn. Det er viktig å male visjonen for ansatte under arbeidet, for at de skal kunne forfølge målbildet.
Kartlegging av prosesser
For å skape prosesser som er så effektive og tydelige som mulig, er det nyttig å starte med en prosesskartlegging. Med andre ord, ansatte gjennomgår hvordan de får tilgang til og behandler personopplysninger i sitt daglige arbeid. Det er nyttig å gjøre dette i grupper, for eksempel hver avdeling, da medlemmene av avdelingen vanligvis behandler de samme typer personopplysninger.
Eksempler på vanlige behandlinger som skjer på daglig basis i bedrifter:
Loggføring og lagring av informasjon om hvilken medarbeider som brukte adgangsmerket for å få tilgang til lokalene på arbeidsplassen;
Registrering av personopplysninger i forbindelse med opprettelse av påloggingsinformasjon eller levering av støtte til ansatte av IT-avdelingen.
Innsamling av de registrertes brukernavn på sosiale medier i forbindelse med at selskapet yter kundeservice gjennom sine sosiale medier.
Registrering av jobbsøkere for rekrutteringsprosessen, når folk sender jobbsøknader til selskapet.
Modell av 5S
Et godt utgangspunkt for arbeidet med GDPR er å ta utgangspunkt i den såkalte 5S-modellen. Det er en transparent modell som inneholder gode elementer å implementere i det praktiske arbeidet med å etterleve GDPR.
Sort - Sorter dokumenter og kontrakter
Bedrifter trenger visse GDPR-relaterte kontrakter og dokumenter. Nøyaktig hva som trengs krever en individuell vurdering. Det er nyttig å sortere dokumentasjonen slik at den er lett å finne om nødvendig.
Structure - Systematisere arbeidet
Det er nyttig å systematisere prosessen med hvordan ansatte skal finne nødvendig informasjon. For eksempel en mappe for interne prosedyrer, for eksempel hvordan enheten skal gå frem når en registrert ber om at hans eller hennes rettigheter blir oppfylt. Det er viktig å vurdere å skape en god struktur for å gjøre arbeidet mer effektivt.
Sanitize - Fjern unødvendige personopplysninger
Bedrifter bør slette personopplysninger når de ikke lenger er nødvendige for det formålet de ble samlet inn for. Et annet alternativ er å anonymisere dem. Dette spenner fra e-postmeldinger som inneholder personlige data, telefonsamtalelogger til notater og andre.
Standardise - Standardisere
I tillegg til viktigheten av å lære hvordan man skal håndtere GDPR i praksis, er det også nyttig å beskrive det skriftlig. Skriftlige retningslinjer, prosedyrer, maler og sjekklister kan standardisere personvernarbeidet. I tillegg er det nyttig å hele tiden søke å forbedre databeskyttelsen og å involvere ansatte i forbedringsprosessen.
Sustain - Skaper gode vaner
For ansatte å overholde GDPR i sitt daglige arbeid, er det godt å skape gode vaner. Å gi ansatte et ord i databeskyttelsesarbeidet er et positivt skritt, da det kan øke kreativiteten og motivasjonen samtidig som de forbedrer forståelsen. I tillegg er det bra å skape vaner som er enkle å endre, da arbeidet med GDPR sjelden er statisk.
Forbedringer
Det er viktig å alltid prøve å forbedre arbeidet med GDPR over tid. For å gjøre det, er det nyttig å involvere alle i aktiviteter knyttet til GDPR i sine oppgaver. Ved å gjennomføre prosesskartlegging og arbeide smidig, er det en god sjanse for å oppdage forbedringsmuligheter og være i stand til å gjennomføre dem.
Databeskyttelseskultur i selskaper
Når vi snakker om databeskyttelseskulturen i et selskap, handler det vanligvis om normer, verdier og holdninger som fører til oppførselen til ansatte i et selskap. Det er derfor viktig å ha kjerneverdier som ikke endrer seg selv om arbeidet utvikler seg over tid. Bedrifter bør bestrebe seg på å bygge en sterk databeskyttelseskultur som utgjør en del av hele organisasjonskulturen.
Læring i hjertet av databeskyttelseskulturen
GDPR er et omfattende sett med regler, og det kan være mye å holde styr på. Dette gjelder spesielt for større selskaper med et stort antall ansatte fordelt på ulike avdelinger som behandler mye personopplysninger. Det er positivt å ha læring i hjertet av databeskyttelseskulturen, for å gi ansatte de beste mulighetene til å overholde GDPR i praksis.
Mer informasjon om GDPR
Organisatoriske tiltak som selskapet kan iverksette for å overholde GDPR
Bedrifter må implementere hensiktsmessige tekniske og organisatoriske tiltak for å beskytte de behandlede personopplysningene og for å overholde de andre reglene i GDPR. For eksempel for å kunne sørge for rettighetene til de registrerte. Vanlige eksempler på organisatoriske sikkerhetstiltak omfatter etablering av interne framgangsmåter, gjennomføring av godkjenningsstyring, opplæring av personale og gjennomføring av konsekvensutredninger.