Kombit gør sig GDPR-klar med pokaler og plakater: Skab awareness uden panik

Illustration: Kombit
Hjemme-byggede værktøjer i Excel og lavpraktisk planlægning har været med til at løfte Kombits GDPR-arbejde, der ellers virkede uoverskueligt.

»Keep Calm And Prepare For GDPR«

Sloganet er trykt på en serie af plakater ophængt i Kombits kontorer i København.

Budskabet opsummerer en af de målsætninger, som kommunernes fælles it-indkøber har sat for arbejdet med at blive klar til EU’s databeskyttelsesfordning, der træder i kraft 25. maj – at skabe opmærksomhed på reglerne hos de enkelte medarbejdere, uden at skabe panik.

»Det har været centralt for mig at forstå, hvad det er for nogle kolleger jeg har, og hvordan jeg kan appellere til dem. Og forstå hvordan jeg kan gøre det med respekt for de opgaver, de allerede har.« forklarer Dorthe Andersen, der som chef for Kombit-projektet IOI (Individ- og Informationssikkerhed), som har ansvar for GDPR-compliance i organisationen.

Læs også: Softwarefirma om GDPR: Vi skal finde på workarounds for at opfylde reglerne

Til formålet har Kombit etableret vandrepokaler til medarbejdere, der har gjort en særlig GDPR-indsats, afholdt cafe-møder, og lavet kamera-shutters til samtlige laptops i huset.

»Så sidder de i øjenhøjde og minder folk om, at det er noget, de skal fokusere på – uden at jeg skal ud og true med bål og brand.«

Fire logiske bidder

Da Kombit i sommeren 2017 satte gang i det praktiske GDPR-arbejde virkede arbejdet ‘mildest talt uoverskueligt’ og det har da også være en kæmpe udfordring, beretter Dorthe Andersen.

I dag – med under fire måneder igen – vurderer hun, at det er lykkedes for organisationen, at ‘lægge skinnerne mens toget kører’.

De nødvendige vejledninger og værktøjer, som Kombits ansatte har brugt til at udføre de praktiske opgaver, er nemlig udarbejdet sideløbende med, at compliance-arbejdet har stået på. For ikke at skabe panik har det været nødvendig at give god tid til planlægning, siger Dorthe Andersen.

Læs også: Cloud-løsninger giver nordisk mediehus udfordringer med GDPR

»Vi er ikke kommet og sagt, at det her er en stor og kompleks opgave. I stedet har vi inddelt opgaven i nogle logiske bidder.«

De logiske bidder lyder:

  • Etablering af dokumentation af Datatyper og datastrømme

  • Etablering af dokumentation af Registreredes rettigheder

  • Etablering af en Risikovurdering

  • Etablering af dokumentation for Risikohåndtering.

»Vi har ikke alle svarene, men vi har vurderet, at det er det her, der skal til. Det betyder, der kan komme tilbageløb, når loven bliver godkendt, og når de vejledninger, vi stadig væk ikke har fået, bliver færdige,« fortæller Dorthe Andersen og fortsætter:

Læs også: 100 dage tilbage: Her er en GDPR-guide til junglen af ændringer i databeskyttelse

»Men udgangspunktet er, at vi har sat os ned og tygget loven igennem, og kommet frem til, hvad GDPR skal betyde for Kombit, og den vej vi skal. På den måde har vi taget ansvaret for, hvad der skal ske. Men vi beder medarbejderne om at udføre det i praksis.«

Simpelt og skræddersyet

IOI-gruppen har selv opbygget alle Kombits vejledninger og værktøjer, så de er skræddersyet til organisationen. Hele arbejdet er holdt så teknisk simpelt som muligt – med word-dokumenter for vejledninger og Excel-ark til værktøjerne.

Målet har været, at den rette medarbejder kan læse vejledningen og udfylde værktøjerne, og på den måde generere den nødvendig dokumentation. Den dokumentation sendes så til IOI-gruppen, der holder trådene samlet på tværs af Kombits projekter.

Processen skal udføres for hver af de fire opgaver. For hver opgave er IOI-gruppen kommet med anbefalinger til, hvilke specialister der med fordel kunne se på opgaven – fx projektets jurist i samarbejde med it-konsulent eller arkitekten. Derudover anførte gruppen yderligere et estimat for, hvor mange timer, den enkelte opgave formentlig kunne tage.

Alt sammen for at gøre de enkelte projektleder i stand til at planlægge og undgå pludselige opgaver med korte deadlines – og i sidste ende undgå panik.

Ikke en god løsning, at købe konsulenter ind

Kombit har direkte kurs mod at være compliant til den 25. maj. Men deadlinen for GDPR er ikke slutdatoen på arbejdet, understreger Dorthe Andersen.

»Det her arbejde går ikke væk, det er et on-going projekt. Hver gang du videreudvikler på en it-løsning, hver gang der kommer en lovændring, skal vi det her igennem igen.«

Af samme grund har Kombit vægtet at holde den hårdt optjente viden om GDPR inden for organisation.

Læs også: Københavns Universitets datageneral: Vi starter på en frisk med GDPR

»Vi har vurderet, at det ikke ville være en god løsning, at købe et team ind på ti mand, som kunne sidde at gøre alt det her for os. Så ville vi miste både kompetencer og vigtig viden, når konsulenterne er færdige med deres arbejde,« siger hun.

I de kommende måneder vil Kombit arbejde på at gøre de interne GDPR-værktøjer tilgengelige i et videnscenter for kommuner. Redskaberne kan formentlig ikke overføres en til en fra Kombit til en kommune.

»Men man kan sagtens få inspiration til, hvordan vi er gået til værks i den her opgave, hvordan vi har set det, og hvordan man kan gribe det an,« siger Dorthe Andersen, der understreger, at det ikke er erstatning for det arbejde, der skal foregå ude i kommunerne.

»Kommunerne er selv ansvarlige for at leve op til GDPR, det er ikke noget vi løfter for dem.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder