Dette indlæg er alene udtryk for skribentens egen holdning.

Compliance-udfordringen er organisatorisk

14. juni kl. 05:02
Wired Relations
Illustration: Jacob Høedt Larsen.
Vi står over for en række udfordringer, os der arbejder med compliance. Og løsningen er hverken juridisk eller teknisk - den er organisatorisk og ledelsesmæssig. Den diskussion skal vi tage. Sådan skriver Jacob Høedt Larsen, der er LLM og partner i Wired Relations, i dette synspunkt.
Artiklen er ældre end 30 dage

Det er nu godt fire år siden, mange af os løb forvildede rundt for at blive klar til GDPR den 25. maj 2018. Der er virkelig sket meget branchen, som er blevet mere og mere moden. Fra den juridiske side er vi kommet langt i forhold til at få en fælles tolkning af reglerne, og teknikkerne har også fundet mange løsninger.

Organisatoriske udfordringer

Men vi står stadig over for en række udfordringer:

  1. Forbrugere og borgere (de registrerede) stoler ikke længere automatisk på, at virksomheder og organisationer beskytter deres ret til privatliv,
  2. Privacy-funktionen er dybt afhængig af, at andre medarbejdere i virksomheden forstår GDPR og informationssikkerhed. Derfor må og skal privacy-kulturen være forankret i hele organisationen,
  3. Efterspørgslen efter medarbejdere med forstand på databeskyttelse vokser lige nu med 30 % om året. Det betyder, at mange vil skifte job - og at driften af privacy-funktionen derfor skal være funderet i organisationen, systemer og strukturer - ikke i en enkelt GDPR-ansats hoved, Excel og Outlook,
  4. Manglen på arbejdskraft betyder samtidig, at effektivisering må højt på den ledelsesmæssige dagsorden. Lidt forsimplet bør den højt specialiserede arbejdskraft bruge sine arbejdstimer på det, der er svært og giver værdi - ikke administration.

De udfordringer er ikke juridiske, de er ledelsesmæssige og organisatoriske. Vi har derfor behov for en at overveje, hvordan compliance og GDPR ledes og drives i virksomheder og organisationer.

Vi skal sammen finde gode løsninger.

De tre faser

Grundlæggende er der tre faser, som compliance-funktionen skal have styr på. Jeg kalder dem Capture, Process og Retain.

Artiklen fortsætter efter annoncen

Capture: Den første fase handler om at indfange alt det nye, der udfordrer vores compliance:

  • Ny lovgivning, afgørelser og retspraksis
  • Nye systemer, der indføres i organisationen
  • Nye processer og måder at gøre tingene på i organisationen
  • Nye risici

Hvorfor er det en ledelsesudfordring? Jo, forestil dig, at Dorthe i marketing har fundet et nyt smart system, som kan støtte mersalg ved at analysere kundedata på en ny smart måde.

Hvis Dorthe ikke tænker, at der kan være en udfordring omkring GDPR og compliance, så hører vi ikke om det, og så kommer vi alt for sent ind i sagen. Det har alle compliance-folk formentlig prøvet.

Vi er - med andre ord - nødt til at skabe en forholdsvis dyb forståelse for udfordringerne og problemstillingerne i GDPR, hvis vi skal have en chance for at opfange de mange nye ting, der sker i vores organisation, som vi skal involveres i.

Alternativet er GDPR som en satellit-funktion, der bliver involveret for sent. Vi skal altså have organisationen til at købe ind på, at GDPR er vigtigt.

Process: Når compliance har opfanget noget nyt i organisationen eller omverdenen (et nyt system i marketing eller en ny lovgivning fra EU, for eksempel), så skal det håndteres, så det bliver indarbejdet i virksomhedens privacy program.

Endnu engang står vi med en udfordring, som compliance ikke kan løse alene.

Et eksempel: Mange GDPR-folk overvejer lige nu brugen af Google Analytics, formentlig med god grund. Hvis der skal findes en løsning, som er både ansvarlig i GDPR-forstand og forretningsmæssigt,kræver det kompetencer fra både GDPR og marketing.

Med andre ord: GDPR skal kunne facilitere effektivt samarbejde med de øvrige afdelinger i virksomheden - ellers bliver vi blot nej-sigere og ikke en forretningskritisk funktion.

Retain: Der er ganske megen gentaget arbejde i en GDPR-funktion. Vi skal kontrollere, auditere, foretage nye risikovurderinger, registrere og lære af databrud og den slags.

Jeg ved, at mange bruger det meste af deres tid på den del - på administrationen. Alene det at skabe overblik i mængder af Excel-ark, mailkorrespondancer, drev med databehandleraftaler og notifikationer i kalenderen, kan være en stor opgave.

Man kan selvsagt ikke sætte sin compliance på autopilot, men hvis vi skal være i stand til at arbejde effektivt, er det omkring overblik og administrationen, vi skal sætte ind.

Igen et konkret eksempel. Ulla, som er en af to GDPR-koordinatorer i virksomheden stopper. Har vi et fuldt overblik over Ullas opgaver i årshjulet, så vi hurtigt kan sætte Bjarne ind i det, når vi får ham ansat? Eller må vi blot konstatere, at når Ulla går ud af døren, så går overblikket med hende ud?

I de kommende år skal vi altså have styr på at få “solgt” GDPR til hele organisationen, skabe endnu bedre forudsætninger for samarbejde og effektiviseret de dele, som giver mindst værdi.

Det er da en fed udfordring.

Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger