Simpel tjekliste skal takle GDPR-hovedpine uden kæmpe konsulentregning

Illustration: Billion Photos/Shutterstock Inc.
Det behøver ikke at koste en formue til konsulentbistand at få styr på den basale datastyring i virksomheden.

Det kan være både ekstremt dyrt og ekstremt besværligt at sætte sig ordentligt ind i EU’s persondataforordning – GDPR – der træder i kraft til maj næste år. Derfor er der brug for en lavpraktisk måde at blive klar til den nye lovgivning på – der ikke nødvendigvis involverer nærlæsning af de mange tusind siders fortolkningspraksis, som følger med loven.

Illustration: Henning Mortensen

Det mener Henning Mortensen, der i 15 år har arbejdet som seniorrådgiver i Dansk Industri og nu har titel af Chief Privacy Officer i grossistvirksomheden A & O Johansen.

Læs også: Justitsministeriets vejledning om EU-persondataforordningen bliver forsinket

Til formålet har han udarbejdet et gratis værktøj, der skal give virksomheder en simpel og operationel håndtag til at få hul på forordningsarbejdet.

»Hvis man er en lille virksomhed, der ikke har tid eller kompetencer til at gøre det her på andre måder, så kan man hente det her værktøj,« forklarede Henning Mortensen om værktøjet på it-konferencen Infosecurity, der i sidste uge fandt sted i København.

Ordliste og FAQ

Værktøjet er et Excel-ark, der dels beskriver en lang række spørgsmål, man skal tage stilling til i forhold til den data, man indsamler, opbevarer og behandler.

Spørgmålene tæller f.eks., hvilken lovhjemmel data indsamles med, hvilket formål de har, og hvilken type data der er tale om.

Derudover rummer Excel-arket en ordforklaring og en FAQ-liste med spørgsmål som: ’Skal virksomheden rydde op i kundedatabasen?’

Læs også: Eksperter advarer mod nationale særregler: Vi ender med kludetæppe af privacy-lovgivning

Endelig lister værktøjet en række kritiske spørgsmål - f.eks. om processer i forbindelse med datalæk - som virksomheder bør kunne besvare.

Alt i alt er regnearket en forsimpling af de 99 artikler og 173 præambelbetragtninger, forordningen rummer.

»Men hvis man kan gøre det her, så vil 90 procent af de danske erhvervsvirksomheder være omkring 90 procent i mål med dokumentationskravet,« vurderer Henning Mortensen, der har publiceret værktøjet på LinkedIn.

Øretæverne

Henning Mortensen har med titlen CPO selv det øverste ansvar for, at A & O Johansen bliver klar til forordningen i 2018.

»Det er mig, der skal have øretæverne, hvis processerne ikke er på plads, hvis rammeværket for risikovurderinger ikke er på plads, eller hvis jeg sover i timen, og der er en regel, jeg ikke har taget højde for,« forklarer han.

Til formålet har Henning Mortensen entreret med noget mere end et Excel-ark. Blandt andet har han fået etableret et sikkerhedsudvalg, som tæller alle selskabets direktører og på den måde har høj beslutningskompetence.

Læs også: Advarsel: Kommende kæmpebøder for datasjusk bliver fed fidus for hackere

Hvert system har fået udpeget en systemansvarlig, en teknisk ansvarlig og en overordnet ansvarlig. Og så har Henning Mortensen identificeret og rekrutteret de mange medarbejdere i selskabet, der har interesse for persondata.

»Det er en god ide at få dem gravet frem, for så har man altid nogen at snakke med i forskelige afdelinger,« forklarer han.

Kan du forsvare det i byretten?

Sammen med it-afdelingen forsøger Henning Mortensen at kortlægge de systemer, som anvendes i forretningen, men som it-afdelingen ikke kender til.

»Det burde være nul, men det er det ikke. Og det skal der rettes op på.«

Når analysen er komplet, kan det egentlige politiarbejde begynde - hvor systemer, der ikke kan gøres lovlige, lukkes ned.

Læs også: Fra skygge-it til kontrolleret anarki: Sov godt om natten trods data-tag-selv-bord

»Det er her, at CPO’ens popularitet kan komme under pres. Det er ikke sket for mig endnu, men jeg forudsiger, at det kan blive ensomt i kantinen hen på efteråret,« bemærker Henning Mortensen.

Der er altid nogle, der vil forsøge at beholde systemer eller data. Til dem har CPO’en et simpelt spørgsmål: Kan du forsvare det her i byretten, mens den forurettede ligger på sine grædende knæ med sine børn omkring sig?

»Hvis de ser mig i øjnene og siger 'ja', så må vi se på det,«« fortæller Henning Mortensen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
Torben Hansen

Kommer til at tænke på, om f.eks. restauranter eller lign. bliver ramt af GPDR, når man booker og skal indtaste person oplysninger (Navn/Adr./telefonnr.)
Hvis de rammes af det, så kommer det nok som en overraskelse for de fleste af dem, at de kan være på kant af loven.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017