Arbeide med GDPR
Arbeide med GDPR gjennom en smidig tilnærming
Det er godt å jobbe med GDPR gjennom en smidig tilnærming, da det gir mulighet til å hele tiden tilpasse arbeidet og få kunnskap. Det er en vanlig praksis i for eksempel IT-sektoren og strategisk arbeid.
Hva betyr en smidig tilnærming?
Kort sagt, en smidig måte å jobbe på innebærer å utføre arbeidet i sykluser og stadig få kunnskap, for å kunne tilpasse arbeidet og gjøre endringer i løpet av arbeidssyklusen.
Med andre ord bør man ikke være for stiv på en stiv plan, men i stand til å gjøre endringer til enhver tid om nødvendig. Bedrifter som ønsker å jobbe med GDPR gjennom en smidig tilnærming, bør vurdere:
Visjon/mål
Kommunisere en overordnet visjon som alle i selskapet skal jobbe for å oppnå.
Forståelse av
Skape en god helhetlig forståelse av hva som påvirker personvernarbeidet, både internt og eksternt. Det kan være lett å bare tenke på sin egen organisasjon og glemme at den er en del av et større system. Derfor er det viktig å forstå verden rundt oss. Med andre ord, ha en systemtilnærming som det også kalles.
Stadier
Det er gunstig å jobbe i korte stadier. Med andre ord, ta et skritt, deretter lære av det, og deretter ta neste skritt. Dette vil gjøre det lettere å gjøre endringer i driften og justere måten å jobbe på for hvert trinn.
Læringsorganisasjon
Det er vanligvis flere personer i et selskap som jobber med ulike spørsmål knyttet til GDPR. Jo større selskapet er, jo mer er det vanligvis tatt som utgangspunkt. Alt fra ledelse, ledere på ulike nivåer, kundeservicepersonell og andre ansatte som er involvert i kommunikasjon med kunder, leverandører eller lignende. Det er positivt for de ansatte å dele sin kunnskap med hverandre, så det er godt å bygge inn læring som en sentral del av prosessen.
Hva er forskjellen mellom å jobbe med tradisjonell målstyring og smidige arbeidsmetoder?
Den enkle forskjellen mellom tradisjonell målstyring og en smidig tilnærming er at ledelsen setter målet og banen forventes å være rett i en tradisjonell målstyring. I motsetning til en smidig tilnærming, som i stedet handler om å sette en visjon og sette milepæler som er enkle å tilpasse under arbeidet i henhold til de faktiske omstendighetene og leksjonene som læres. Det er fordeler og ulemper med begge måter å jobbe på, men anbefalingen er å jobbe med GDPR ved hjelp av en smidig tilnærming i stedet for å bruke tradisjonell målretting.
Når kan det være nyttig å jobbe med GDPR gjennom en smidig tilnærming?
Uklart kravbilde
Visse situasjoner og omstendigheter som dekkes av GDPR kan være i gråsoner. Det kan være mangel på klarhet om riktig tilnærming, noe som betyr at det må avklares gjennom rettspraksis (indikative rettsavgjørelser). For slike uklare situasjoner er det nyttig å arbeide agilt for enkelt å kunne gjennomføre endringer hvis det for eksempel er avklaring gjennom praksis, veiledning fra en databeskyttelsesmyndighet eller EU eller lignende.
Endre situasjoner
Bedrifter skal regelmessig gjennomgå sine implementerte tekniske og organisatoriske sikkerhetstiltak, slik det kreves av filosofien om databeskyttelse ved design. Det er viktig å tilpasse disse tiltakene med praksis og andre regler. Dette betyr imidlertid ikke nødvendigvis at alt må være teknisk gjennomførbart på en dag.
Komplekse målsetninger
Målene er ikke alltid klare, da ny teknologi kombinert med GDPR kan være komplisert å håndtere. For eksempel å måtte forholde seg til AI som har blitt veldig populært nylig, AI-loven, GDPR og andre forskrifter og lover som bedrifter må overholde.
Kommunisere visjonen til alle ansatte
Det er godt å formidle visjonen om den smidige tilnærmingen til alle ansatte i selskapet. Dette vil tillate dem å bære visjonen i sitt daglige arbeid og å analysere seg selv hvordan de kan forbedre ytelsen til GDPR i sine oppgaver. Det er i siste instans de ansatte som jobber med GDPR i praksis når de utfører sine oppgaver.
For eksempel:
En visjon som et selskap kan ha, er å strebe etter å respektere kundenes personvern fullt ut, ved å prøve å forbedre databeskyttelsen ved design regelmessig. Dette er noe som alle ansatte bør være oppmerksomme på, slik at de alltid kan strebe etter å oppnå den overordnede visjonen i sitt daglige arbeid.
Involver alle i aktivitetene
Som mange mennesker i et selskap jobber med aktiviteter som faller innenfor rammen av GDPR i sitt daglige arbeid, er det både en stor ressurs og et stort ansvar. Alle ansatte som er involvert i noen form for behandling av personopplysninger, det være seg ledelse eller kundeservicepersonell, trenger å vite hvordan de skal utføre sine oppgaver i tråd med GDPR. Det er ikke de som må betale bøter hvis GDPR ikke overholdes, men selskapet som gjør det. Derfor er det viktig at de er klar over reglene i GDPR som deres oppgaver er relatert til.
Selv om det er bra at ledelsen utnevner ulike roller (for eksempel databeskyttelsesambassadører) og oppretter ulike funksjoner (for eksempel en databeskyttelseskomité), er det bra hvis hele aktiviteten også er involvert i arbeidet med GDPR gjennom en smidig tilnærming. En feil gjort av mange selskaper er at bare én advokat, IT eller annen spesiell funksjon skal prøve å utføre alt GDPR-arbeid. På den annen side kan det være nyttig å ha en eller flere av dem. Det er imidlertid vanskelig for dem å gjøre alt arbeidet, og spesielt hvis det er et stort selskap med mange ansatte.
Læring av erfaringer og feil
Det er bra at medarbeiderne reflekterer sammen om GDPR-arbeidet og diskuterer det sammen. Det er en måte for personalet å lære av hverandres erfaringer og feil. I tillegg engasjerer det sine ansatte i arbeidet med GDPR, noe som også kan føre til bedre resultater. Utgangspunktet er med andre ord å prøve å være en lærende organisasjon. For å kunne gjøre det, må medarbeiderne kunne føle seg trygge på at de har gjort feil og korrigere dem. Dette kan fundamentalt endre deres grunnleggende forutsetninger.
Databeskyttelse ved design gjennom en smidig tilnærming
Bedrifter skal ha databeskyttelse ved design og som standard som kreves av artikkel 25 GDPR.
Databeskyttelse etter design
Databeskyttelse ved design handler om at den behandlingsansvarlige tar hensyn til personvernregler ved utforming av IT-systemer og prosedyrer. Selskaper må med andre ord implementere hensiktsmessige tekniske og organisatoriske tiltak for å beskytte de behandlede personopplysningene og overholde de andre reglene i GDPR.
Databeskyttelse som standard
Bedrifter som er underlagt GDPR, må også tilpasse sitt produkt / tjeneste / system for å være databeskyttelsesvennlig. For eksempel å ikke ha en forhåndskrysset samtykkeboks eller gjøre det vanskelig å trekke tilbake samtykke. I tillegg betyr det at selskapet ikke kan behandle flere personopplysninger enn det som er nødvendig for formålet. Videre skal innstillinger med høyeste grad av personvern være aktivert som standard.
En fordel med å jobbe med GDPR gjennom en smidig tilnærming er at det letter arbeidet med databeskyttelse ved design. Dette skyldes at medarbeiderne hele tiden får mulighet til å analysere arbeidet og prøve å finne forbedringsmuligheter. Det faktum at GDPR er formulert på en slik måte at selskapet egentlig ikke fullfører sitt GDPR-arbeid, men heller at det stadig forbedrer sitt arbeid og tar hensyn til nye eksterne faktorer som ny teknologi eller praksis, hjelper det med en smidig tilnærming.
Mer informasjon
Bruker 5S-modellen
Et godt utgangspunkt for arbeidet med GDPR er å bruke den såkalte 5S-modellen. Kort sagt innebærer modellen sortering av GDPR-relaterte dokumenter og kontrakter, systematisering av arbeid, fjerning av unødvendige personopplysninger, standardisering av prosesser og oppretting av god praksis i selskapet. 5S-modellen er nyttig på arbeidsgruppe- og ikke individnivå, slik at medarbeiderne kan lære av hverandres feil og erfaringer. I tillegg engasjerer det ansatte mer, noe som er en god faktor for å oppnå gode resultater i databeskyttelsesarbeidet.