Simpel tjekliste skal takle GDPR-hovedpine uden kæmpe konsulentregning
Det kan være både ekstremt dyrt og ekstremt besværligt at sætte sig ordentligt ind i EU’s persondataforordning – GDPR – der træder i kraft til maj næste år. Derfor er der brug for en lavpraktisk måde at blive klar til den nye lovgivning på – der ikke nødvendigvis involverer nærlæsning af de mange tusind siders fortolkningspraksis, som følger med loven.
Det mener Henning Mortensen, der i 15 år har arbejdet som seniorrådgiver i Dansk Industri og nu har titel af Chief Privacy Officer i grossistvirksomheden A & O Johansen.
Til formålet har han udarbejdet et gratis værktøj, der skal give virksomheder en simpel og operationel håndtag til at få hul på forordningsarbejdet.
»Hvis man er en lille virksomhed, der ikke har tid eller kompetencer til at gøre det her på andre måder, så kan man hente det her værktøj,« forklarede Henning Mortensen om værktøjet på it-konferencen Infosecurity, der i sidste uge fandt sted i København.
Foruden regnearket anbefaler Henning Mortensen følgende generelle værktøjer i arbejdet med forordningen:
Værktøjskassen
Ordliste og FAQ
Værktøjet er et Excel-ark, der dels beskriver en lang række spørgsmål, man skal tage stilling til i forhold til den data, man indsamler, opbevarer og behandler.
Spørgmålene tæller f.eks., hvilken lovhjemmel data indsamles med, hvilket formål de har, og hvilken type data der er tale om.
Derudover rummer Excel-arket en ordforklaring og en FAQ-liste med spørgsmål som: ’Skal virksomheden rydde op i kundedatabasen?’
Endelig lister værktøjet en række kritiske spørgsmål - f.eks. om processer i forbindelse med datalæk - som virksomheder bør kunne besvare.
Alt i alt er regnearket en forsimpling af de 99 artikler og 173 præambelbetragtninger, forordningen rummer.
»Men hvis man kan gøre det her, så vil 90 procent af de danske erhvervsvirksomheder være omkring 90 procent i mål med dokumentationskravet,« vurderer Henning Mortensen, der har publiceret værktøjet på LinkedIn.
Øretæverne
Henning Mortensen har med titlen CPO selv det øverste ansvar for, at A & O Johansen bliver klar til forordningen i 2018.
»Det er mig, der skal have øretæverne, hvis processerne ikke er på plads, hvis rammeværket for risikovurderinger ikke er på plads, eller hvis jeg sover i timen, og der er en regel, jeg ikke har taget højde for,« forklarer han.
Til formålet har Henning Mortensen entreret med noget mere end et Excel-ark. Blandt andet har han fået etableret et sikkerhedsudvalg, som tæller alle selskabets direktører og på den måde har høj beslutningskompetence.
Hvert system har fået udpeget en systemansvarlig, en teknisk ansvarlig og en overordnet ansvarlig. Og så har Henning Mortensen identificeret og rekrutteret de mange medarbejdere i selskabet, der har interesse for persondata.
»Det er en god ide at få dem gravet frem, for så har man altid nogen at snakke med i forskelige afdelinger,« forklarer han.
Kan du forsvare det i byretten?
Sammen med it-afdelingen forsøger Henning Mortensen at kortlægge de systemer, som anvendes i forretningen, men som it-afdelingen ikke kender til.
»Det burde være nul, men det er det ikke. Og det skal der rettes op på.«
Når analysen er komplet, kan det egentlige politiarbejde begynde - hvor systemer, der ikke kan gøres lovlige, lukkes ned.
»Det er her, at CPO’ens popularitet kan komme under pres. Det er ikke sket for mig endnu, men jeg forudsiger, at det kan blive ensomt i kantinen hen på efteråret,« bemærker Henning Mortensen.
Der er altid nogle, der vil forsøge at beholde systemer eller data. Til dem har CPO’en et simpelt spørgsmål: Kan du forsvare det her i byretten, mens den forurettede ligger på sine grædende knæ med sine børn omkring sig?
»Hvis de ser mig i øjnene og siger 'ja', så må vi se på det,«« fortæller Henning Mortensen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
