Sidder du og funderer over, hvad GDPR indebærer for din organisation? Så er du ikke alene. Rigtigt mange mellemstore og store virksomheder og myndigheder er slet ikke klar endnu, og de skal op i gear. Det kræver nemlig forberedelse at blive klar til de nye regler for persondatabeskyttelse, der træder i kraft 25. maj 2018. Men hvordan skaber man et overblik i kaos? Hvad er de tre vigtigste steps, der kan sikre, at virksomheder overholder GDPR-kravene? Og hvori ligger de forretningsmæssige gevinster med GDPR?
Globeteam har spurgt en række profiler i det offentlige og private erhvervsliv samt i den danske it-branche om deres syn på forskellige aspekter af GDPR. I dag svarer Tina Brøgger Sørensen, som er partner i Kromann Reumert og ansvarlig for Kromann Reumerts forretningsgruppe for persondataret på spørgsmålene og giver også sin anbefaling til, hvordan virksomheder sikrer sig, at de lever op til de juridiske krav i arbejdet med GDPR.
Tina Brøgger Sørensen, partner i Kromann Reumert og ansvarlig for Kromann Reumerts forretningsgruppe for persondataret.
Tina Brøgger Sørensen arbejder primært med ansættelses- og arbejdsret samt persondataret. Tina leder Kromann Reumerts forretningsgruppe for persondata og whistleblower-ordninger og er internationalt certificeret inden for europæisk databeskyttelse (CIPP/E).
Læs mere nedenfor om Tina Brøgger Sørensens ansvar i forbindelse med GDPR.
Hvad, vurderer du, er de tre største forretningsmæssige gevinster i arbejdet med GDPR?
- Hvis virksomheden overholder GDPR-kravene, får den et bedre kendskab til egne processer, muligheder og begrænsninger, hvilket blandt andet kan være med til øget effektivisering, at processer bliver mere smidige m.v.
- Det vil også udgøre et vigtigt konkurrenceparameter, hvis virksomheden efterlever kravene i GDPR. Hertil kommer, at det ved virksomhedsopkøb må forventes at få betydning for værdiansættelsen af virksomheden.
- Virksomheden afskærer eller reducerer risikoen for at blive pålagt bøder efter GDPR.
Hvordan anbefaler du, at virksomheder tager hul på arbejdet med GDPR?
Vores anbefaling fremgår af vores Insight-artikel, der findes på dansk her og på engelsk her.
Kort sagt anbefaler vi, at virksomheder griber forberedelsen an som et compliance-projekt, hvor der blandt andet kortlægges datastrømme, identificeres indsatsområder, udarbejdes en konkret handlingsplan, hvor der også tages højde for ambitionsniveauet, og afsættes den nødvendige tid og ressourcer til implementering af de nødvendige tiltag.
Hvad, mener du, er de tre vigtigste steps, der kan sikre, at virksomheder overholder GDPR-kravene?
- At engagementet til at overholde GDPR-kravene er forankret i virksomhedens ledelse, og at der afsættes de fornødne ressourcer dertil.
- At der skabes awareness hos de ansatte i virksomheden om de forpligtelser og konsekvenser, der følger efter GDPR. Sikkerhedsbrud skyldes ofte fejl begået af ansatte
- At virksomheden ved hjælp af tekniske og organisatoriske løsninger får indarbejdet de tiltag og procedurer, der er nødvendige for at kunne leve op til GDPR-kravene, og at disse jævnligt tilpasses. En teknisk løsning er f.eks. kryptering, adgangsbegrænsning eller et opdateret antivirusprogram, mens organisatoriske løsninger er politikker, retningslinjer og interne procedurer, som sikrer compliance.
Hvordan anbefaler du, at virksomheder sikrer sig, at de lever op til de juridiske krav i arbejdet med GDPR?
Vi anbefaler, at virksomheden gennemfører en datastrømsanalyse, og på baggrund heraf udarbejder en analyse, der viser, hvilke tiltag der er nødvendige for at leve op til de juridiske krav. Indholdet af compliance-analysen varierer meget fra virksomhed til virksomhed.
Herefter bør virksomheden udarbejde de nødvendige dokumenter, såsom politikker, databehandleraftaler osv. samt iværksætte de procedurer, som fremgår af analysens anbefalinger. Ved denne fremgangsmåde sikres der en struktureret tilgang, så de mest relevante huller kan lappes først.
Til sidst er det vigtigt, at virksomheden sørger for at vedligeholde de implementerede tiltag samt sikrer, at nye forretningsgange også lever op til kravene. Virksomheder skal tillige holde øje med regelændringer og ny praksis, der kan gøre det nødvendigt f.eks. at ændre på vedtagne politikker.
GDPR på agendaen: Interviewserie om GDPR
I næste uge bringer vi et interview med Thomas Hildebrandt, som er leder af ITU’s forskningsgruppe for procesintelligens, modellering og optimering. Han fortæller bl.a. om, hvordan de nye datakrav kan bruges til at sætte skub i forretningens arbejde med processer.
I sidste uge bragte vi interviewet med Ole Kjeldsen, teknologi- og sikkerhedsdirektør hos Microsoft, der vurderede de generelle GDPR-udfordringer og sikkerhedstendenser set i forhold til Microsoft Cloud-platformen. Læs interviewet her
Interviewserien publiceres i løbet af de kommende uger på Globeteams hjemmeside samt på Globeteams LinkedIn-side ligesom de øvrige indlæg i Globeteams tema om GDPR, så sørg for at følge med her.
Tema: GDPR på agendaen
Vil du gerne vide mere om GDPR? Så kan du gå på opdagelse her.
Interviewet, som du netop har læst, er et indlæg i Globeteams tema om GDPR. Et tema, der foruden vores interviewserie med gode råd om arbejdet med GDPR fra en række profiler i det offentlige og private erhvervsliv samt i den danske it-branche blandt andet byder på et seminar, som afvikles i et samarbejde mellem Globeteam og Microsoft, samt en række artikler, der leder dig skridt for skridt gennem de overvejelser og praktiske foranstaltninger, du skal have styr på, når du arbejder med GDPR og skal dokumentere informationssikkerheden med det rette procesdokumentationsværktøj.
Kontakt
Globeteam tilbyder assistance med både it og forretning hele vejen gennem forløbet fra foranalyse og projektdefinition over kortlægning og løsningsforslag til implementering og drift.
Læs mere og se eksempler på ydelser her
Vil du vide mere om, hvordan Globeteam klæder din organisation på til GDPR?
Så kontakt:
Jesper Vraa Nielsen
E-mail: jvn@globeteam.com
Mobil: +45 2362 6962
Eller:
Henrik Gissel Szokody
E-mail: hgs@globeteam.com
Mobil: +45 4245 8797