Dette indlæg er alene udtryk for skribentens egen holdning.

Lektielæsning: En god GDPR-ansvarliges fornemmeste opgave

8. marts 2022 kl. 05:30
onlinestuderende
Illustration: mangpor_2004 / Bigstock.
Det er vigtigt at følge med, når GDPR-praksis udvikler sig i EU. På den måde kan man som dataansvarlig hurtigt forholde sig til nye problemstillinger og opretholde tilliden til virksomhedens kunder.
Artiklen er ældre end 30 dage

Sidder man med ansvaret for compliance med GDPR i en organisation, så mødes man med den udfordring, at der konstant er behov for opfølgning med retsstillingen. Præcisering af love og forpligtelser igennem domme, udtalelser, vejledninger og mere gør, at forståelsen af GDPR sættes på prøve og der ofte kan opstå behov for revurdering af ens compliance-aktiviteter.

Hvor hurtigt sådan en revurdering sættes i gang kan gøre en stor forskel for, hvor mange nye kunder man tiltrækker, og hvor eksponeret man er til risici i forbindelse med ikke at være kommet i mål med nyudsprungne retlige forpligtelser.

Enhver GDPR-ansvarlig har derfor den opgave at gøre sig bekendt med en hel del jura, som kan være uoverskueligt, hvis man samtidig med dette sidder med andre funktioner i en virksomhed. Tiden, der bruges på at læse op på GDPR-nyheder, er allerede begrænset, da det egentlige GDPR-arbejde udgør et årshjul af opgaver, og at have for mange andre hatte på i en virksomhed er derfor en svær balancegang. 

Dennis Benneballe Arnold-Grade
Illustration: Frederik Tubæk Rasmussen.

Hvor ofte i ens årshjul af GDPR-opgaver kan man tillade sig at undersøge, hvorvidt retsstillingen har ændret sig? Hvis der så ofte sker ændringer i forståelsen, hvorfor så holde sig opdateret? Giver det ikke mening at vente med at sætte tilpasninger i gang i virksomheden, indtil der er mere klarhed på området?

Artiklen fortsætter efter annoncen

Det er min personlige erfaring, at der ikke er andet for, end at gøre det til en daglig, minimum ugentlig, disciplin at grave sig ned i materien for at være opdateret. Hvor meget tid man kan allokere til at gøre dette bør nærmest være lig med al den tid, man kan undvære. Det hjælper ikke blot på at undgå negative overraskelser, men styrker den generelle forståelse over tid. Tager man Schrems-II som eksempel, blev det hurtigt efter dommen var afsagt tydeligt, at der skal handles. 

Oveførselshjemlen Privacy Shield blev erklæret ugyldigt, og i månederne efter skete der en markant ændring i den opmærksomhed, der blev skænket overførsler til tredjelande - et område, som til den tid for de fleste blot var af mindre interesse. Her var det for mange vigtigt hurtigt at have en opdateret forståelse af loven for at opretholde tilliden til kunder.

Men siden tredjelandsoverførsler blev sat i fokus på den måde, har de fleste fået en forståelse af, hvilke forpligtelser der generelt er i forbindelse med udvælgelse af den rette databehandler eller underdatabehandler, tilsyn med disse, og hvad der udgør en overførsel. 

På samme måde er alle andre domme, udtalelser, vejledninger, osv. med til at fremme forståelsen af de bagvedliggende tanker i GDPR. Men hvordan vælger man så ud, hvad man skal fokusere på, hvis tiden er knap? Udover at dette selvfølgelig er afhængigt af ens risikovurdering, sikkerhedsniveau, følsomhed og mængde af personoplysninger, branche, og hvilke problemstillinger man er ramt af, samt hvilke interesser man har i at undersøge og løse problemet. 

Artiklen fortsætter efter annoncen

Konstant opfølgning, oplysning og ajourføring med loven i compliance-arbejdet er utrolig fordelagtigt. Dette gør, at kommunikationen med dataansvarlige eller de registrerede ikke bliver præget af uvidenhed, misforståelser, panik eller at være i fare for at virke uprofessionel eller ligefrem ligegyldigt med databeskyttelse.

Personligt erfarede jeg, at dommen, som blev afsagt en fredag og udkom enkelte steder som nyhed om fredagen, blev genstand for kundeforespørgsler mandagen efter dommen. Her forventede dataansvarlige og andre interessenter, at virksomheden havde en afklaret stilling i forhold til denne nyhed, samt en plan for hvad der skal ske herfra.

Dette er svært at levere, hvis man ikke har hørt om denne dom inden da. Ja, jeg personligt har da også brugt dagen efter dommen blev afsagt og hele den weekend på at sætte mig ind i dommen, dens baggrund, osv. Uden dette ved jeg ikke, hvad vi skulle have svaret, og hvornår. Da vi som virksomhed dog var forberedt på det tidspunkt, hvor kundespørgsmålene trillede ind, kunne vi opretholde transparens og professionalisme hele vejen igennem og have et forspring, som kunne mærkes. Både hos konkurrenter, men også i hele it-landskabet i Danmark og Europa generelt.

Udfordringen med at tilpasse virksomhedens compliance er dog en helt anden størrelse. At skulle kommunikere og overbevise alle parter om at skulle rette ind på et område, der hidtil blev misforstået, er en stor opgave i sig selv.

Men samtidig at kræve, at store forandringer inden for virksomhedens IT-opsætning skulle være nødvendigt nu for at undgå bøder m.fl. er så dårlig en nyhed for mange virksomhedsejere, at de - forståeligt nok - trækker håndbremsen og ønsker yderligere at undersøge problemet og se på, hvordan sagen udvikler sig. At komme til enighed internt og så til at have gennemført ændringer, der giver compliance som resultat, en en vej der lang og sej.

Læs med næste tirsdag, hvor Dennis Benneballe Arnold-Grade i seriens andet indlæg zoomer ind på én konkret sag, der understreger, hvorfor det er specielt vigtigt for compliance-ansvarlige at følge med i udviklingen af GDPR i EU.

Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger