Globeteams egen GDPR-ekspert, Jesper Vraa Nielsen, deler ud af sine bedste tips
Som led i temaserien ”GDPR på agendaen” har vi spurgt en række profiler fra DI, Microsoft, Kromann Reumert og ITU om deres syn på forskellige aspekter af GDPR samt bedt dem give gode råd til virksomheder og organisationer, som har opgaven med at blive compliant foran sig.
Mine bedste tips
De sidste år har jeg arbejdet intensivt med GDPR og informationssikkerhed som rådgiver og konsulent. Jeg har fået mange erfaringer og prøvet mange ting af. Her er min tre vigtigste råd til alle, der lige er gået i gang eller skal til det:
- Beslut om du vil lave et top down- eller bottom up-projekt – hvis du først skal i gang nu: Vælg bottom up
- Få de rigtige kompetencer i dit projekt – det er ikke kun en IT-opgave (men det er det også)
- Brug værktøjer og skabeloner til at accelerere dit projekt
Top down eller bottom up?
De fleste organisationer er i tvivl om, hvordan de skal gribe den samlede opgave med at blive GDPR compliant an.
Skal man skabe det store forkromede overblik med en samlet analyse af hele organisationen og dens håndtering af persondata, lave en samlet plan og definere alle delprojekterne, og så igangsætte implementeringen som et samlet program – en top down-tilgang?
Eller skal man lave en hurtig foranalyse, hvor man laver et groft situationsbillede og finder ud af, hvor skoen trykker mest, og så sætte fokus på det vigtigste først og implementere løsninger løbende uden at være sikker på, at man har dækket det hele – en bottom up-tilgang?
Top down Man starter med at lave en stor, overordnet analyse over hele organisationens brug af persondata, så man herefter kan finde frem til, hvilke opgaver der skal udføres. | Bottom up Man starter med at finde frem til de vigtigste opgaver, så de kan blive løst først, og så går man videre på prioriteringslisten. Man deler med andre ord arbejdet op i mindre bidder. |
Min anbefaling er klar: Vælg bottom up!
Hvorfor? Fordi top down kræver en modenhed i forhold til informationssikkerhed og projektgennemførsel, som de færreste danske organisationer og virksomheder på nuværende tidspunkt har.
De fleste har kun i meget lille grad beskæftiget sig med den gamle persondatalov, har ikke tænkt specielt meget i informationssikkerhed og er ikke vant til i større stil at køre projekter på tværs af hele virksomheden med alt, hvad det indebærer. Top down-tilgangen kræver en stor modenhed på disse områder, og har man ikke den, vil top down være for omfattende, tung og føre til et problemfyldt GDPR-projekt.
Begge tilgange har fordele og ulemper. Laver du top down, har du et klart billede af alt, hvad du skal igennem, men du bruger rigtig meget tid på analyse og planlægning, og hele implementeringen kommer først til allersidst. Du risikerer, at du ikke når i mål med helt centrale elementer, og at du går død i analyser og projekter inden målstregen. Og du ser først resultater helt til sidst.
Laver du bottom up, får du hurtigt synlige resultater på vigtige områder, men over tid finder du ud af, at nogle af dine løsninger måske ikke hænger helt sammen på tværs, og du må justere dine planer og løsninger undervejs, efterhånden som du bliver klogere. Du får dynamik, fremdrift og synlighed, men du fejler måske indimellem, laver dobbeltarbejde, mister overblikket osv.
I min optik er fordelene for de fleste danske organisationer og virksomheder størst ved bottom up. Især hvis I først skal til at gå i gang nu, eller kun har været i gang i kort tid – så er der ikke tid til top down! Så gælder det om få taget fat i det allervigtigste eller allermest kritiske område og få etableret de nødvendige løsninger, hvad enten det er nye tekniske løsninger, ændringer arbejdsgange, dokumentation osv.
Når man har en hammer, ligner alt et søm
Advokatfirmaerne anbefaler juridisk rådgivning, IT-firmaerne lover quick fixes med konkrete systemer og infrastruktur, mange konsulentfirmaer fokuserer på metoder og projektmodeller.
Sandheden, og min erfaring fra en række projekter, er, at du ikke kan nøjes med en hammer, men har brug for hele værktøjskassen. Jeg beklager, men der er ingen quick fixes i GDPR. Du skal havde de rigtige kompetencer i dit projekt, og derfor har du brug for folk med:
- Forretnings- og organisationsviden – folk der kender jeres forretning og kan lave analyser af jeres persondata og designe nye processer og politikker, der sikrer, at I behandler disse data på en passende måde.
- IT-viden – folk der kan bygge understøttende tekniske løsninger. Det kan være nye systemer, justeringer i eksisterende systemer, samt ny infrastruktur til bedre overvågning og databeskyttelse.
- Jura – folk der kan afgøre, hvor I konkret skal lægge jer rent juridisk for at være compliant. Hvordan skal jeres information til personer, I registrerer data om, formuleres, hvordan skal jeres databehandleraftaler udformes, hvilken hjemmel kan I påberåbe jer for at behandle data, som er særligt vigtige for lige jeres organisation, osv.
- Ledelse – folk der kan allokere de nødvendige ressourcer til projektet og godkende de løsninger og beslutninger, som I når frem til i jeres projekt, for de vil påvirke jeres organisation markant – og implementeringen vil fejle, hvis disse folk ikke er om bord.
- Sparring og styring – folk der har været igennem processen før, og som kan rådgive om alle fire ovenstående elementer og sammenhængen mellem dem. Så det er ikke nok at entrere med et IT-hus eller et advokatfirma. Du skal kigge efter rådgivere, der kan dække det hele eller mest muligt.
I et GDPR-projekt skal der skabes masser af papir
Der skal formuleres oplysningstekster og databehandleraftaler, skabes fortegnelser over data og deres behandling, etableres dokumenter til at understøtte alle trinene i dialogen med personer, der benytter sig af deres rettigheder til at bede om indsigt i data, blive glemt osv.
Skal du formulere alt dette fra bunden, bliver du kvalt. Brug i stedet skabeloner og tjeklister, hvor GDPR-kravene er indarbejdet fra starten – så skal du ikke opfinde alt fra bunden, og dermed sparer du tid. Tid, du kan bruge på at lave en bedre implementering af de nye løsninger i din organisation.
Der findes i dag mange værktøjer, skabeloner og tjeklister hos rådgivere, og en del kan også findes på nettet. F.eks.:
- Skabeloner til databehandleraftaler
- Skabeloner til oplysningstekster
- Regneark til dataanalysen
- Tjeklister til konkrete systemer eller udviklingsprocesser
- Dokumentationsværktøjer til dataoverblik, lovpligtig dokumentation osv.
Brug disse værktøjer og skabeloner til at accelerere dit projekt.
For at opsummere: Kig dig omkring og spørg rådgiverne til råds – så kommer du lettere igennem GDPR-processen.
Tema: GDPR på agendaen
Indlægget, du netop har læst, er afslutningen på Globeteams interviewserie om GDPR.
Læs eller genlæs de tidligere indlæg her
Interviewserien er en del af temaet ”GDPR på agendaen”, der foruden interviewserien med gode råd om arbejdet med GDPR fra en række profiler i det offentlige og private erhvervsliv samt i den danske it-branche blandt andet byder på et seminar, som afvikles i samarbejde mellem Globeteam og Microsoft, samt en række artikler, der leder dig skridt for skridt gennem de overvejelser og praktiske foranstaltninger, du skal have styr på, når du arbejder med GDPR og skal dokumentere informationssikkerheden med det rette procesdokumentationsværktøj.
Kontakt
Globeteam tilbyder assistance med både it og forretning hele vejen gennem forløbet fra foranalyse og projektdefinition over kortlægning og løsningsforslag til implementering og drift.
Læs mere og se eksempler på ydelser her
Vil du vide mere om, hvordan Globeteam klæder din organisation på til GDPR?
Så kontakt:
Jesper Vraa Nielsen
E-mail: jvn@globeteam.com
Mobil: +45 2362 6962
Eller:
Henrik Gissel Szokody
E-mail: hgs@globeteam.com
Mobil: +45 4245 8797