GDPR i praksis; hvad skal jeg gøre?

Nu har jeg siden 24. januar rumsteret rundt i forordningen og "underholdt" med mine mere eller mindre sarkastiske kommentarer til ordlyden og intensionerne med den, men før eller siden bliver jeg jo nødt til at tage skeen i den anden hånd - det er så nu!

Men er det ikke nu, her lige om snart (25. maj 2018), at forordningen skal være implementeret? Det er korrekt, men tilsynsmyndigheden vil, som første indsats, påtale en manglende overholdelse, især hvis du kan dokumentere at din virksomhed aktivt arbejder på at møde forordningens direktiver. Omvendt - hvis du ikke kan demonstrere et igangsat projekt til, indenfor kortere tid, at møde forordningens krav, så vil tilsynsmyndigheden ikke vise nogen barmhjertighed - især ikke fordi der i EU har været en grace period siden maj 2016!

Hvad er det, jeg skal forholde mig til?

Du skal gennemtænke dette beslutningstræ for hver data punkt, du/din organisation opsamler/forbruger - som har med fysiske personer at gøre:

Behandler din organisation ingen personoplysninger (så har du ingen ansatte, og ingen private kunder) - er alt det her fløjtende ligegyldigt for dig. Ellers bør du starte her.

Overordnet

Helt overordnet består din organisations opgave i 3 pinde

  • forberedelse af organisationen
  • beskyttelse af personlige oplysninger
  • beredskab ifm håndtering af personlige oplysninger

Din organisation skal starte med forberedelsen, og her særligt

  1. skab bevågenhed i organisationen
  2. få bestyrelsens bevågenhed - og budget godkendelse
  3. udpeg en DPO
  4. gennemgå eksisterende systemer, procedurer, og kontrakter med leverandører
    Denne gennemgang har til formål at sikre datagrundlaget og processerne og her ligger på den ene side en ordentlig mundfuld for din virksomhed, men samtidig muligheden for et bedre overblik, og indkassering af rationaliseringsgevinster. Organisationen skal
    1. udarbejde et kort over arbejdsgange, data og processer. Læs om hvordan her. Kortet kan du 'fylde på' ligesom du kommer frem i punkterne 3-6 lige nedenfor.
    2. benyt lejligheden til at gennemføre en revision af data-punkter, med det formål at minimere behovet for at gennemføre de følgende punkter
    3. foretage en konsekvensanalyse for hver arbejdsgang/proces[1]. Læs om den her.
    4. for hver arbejdsgang/proces afgøre om organisationen er dataansvarlig og/eller databehandler
    5. afgøre det legale fundament for behandling (se beslutningstræet ovenfor) for hver arbejdsgang/proces/data punkt
    6. afgøre hvor lang tid data må fastholdes/gemmes - og hvordan data slettes når perioden er ovre eller den registrerede forlanger det
    7. udarbejd i samarbejde med leverandører og andre parter, der håndterer del-processer, databehandlingsaftaler, der sikrer at organisationen opfylder kravene til opretholdelse af tilstrækkelig sikring af og kontrol med personoplysninger under dets ansvar

Dernæst skal organisationen fokusere på beskyttelsen af personlige oplysninger. Det kræver

  1. at hver proces og arbejdsgang bliver gennemgået med henblik på at sikre at hvor det er muligt, bliver person oplysninger anonymiseret og/eller pseudonymiseret, samtidig med at formidling af person oplysninger bliver minimeret
  2. at person oplysninger, hvor de ikke kan anonymiseres, bliver krypteret eller på anden vis pseudonymiseret
  3. at der etableres styrede adgangskontroller til alle processer
  4. at al adgang til data bliver logget, og at disse logbøger bliver revideret hyppigt
  5. at processer såvel som datastrømme (ind og ud) bliver overvåget for at afsløre forsøg på kompromittering af sikkerheden omkring person oplysninger
  6. at der etableres et værn mod tab af data integritet ved fejl og systemkritiske ændringer

Til slut skal virksomheden etablere et beredskab; dvs definere og indarbejde processer der gør den i stand til at opfylde GDPR's krav i relation til iagttagelsen af den registreredes rettigheder, og kontrollen med person oplysninger internt og til leverandører og andre, der håndterer del-processer. Det kan samles i 3 punkter, som er

  1. Design og indarbejdelse af rutiner der iagttager og understøtter den registreredes rettigheder - til gennemsigtighed indsigt, oplysning, berigtigelse, transport, sletning, begrænsning, udlevering og transport, retten til at sige nej, retten til ikke at være del af en profilering
  2. Håndtering af data transport udenfor EU og til leverandører og under-processer generelt
  3. Opbygning af det nødvendige apparat og systemer til at afsløre, varetage registrering, og efterforske brud på sikkerheden, samt svare, og oplyse registrerede, og endelig advisere Datatilsynet mfl, ved opståelsen af hændelser. Disse notifikationer bør, hvis de allerede er i effekt, revideres jævnligt for at sikre at de bliver fulgt og effektueret

Sådan ser den ud, arbejdsplanen, og som en yderligere operationalisering af den, har jeg samlet en checkliste, "lige til clipboard'et" - den er ikke færdig, men nu må det ud!


  1. principielt kun for de arbejdsgange/processer, hvor der er en høj risiko for den registreredes rettigheder og frihedsrettigheder ↩︎