GDPR
– HJÆLP TIL FORSTÅELSE AF REGLER OG FORANKRING I ORGANISATIONEN
GDPR er for alle. GDPR (eller databeskyttelse) er gået fra at være noget, som få specialister interesserede sig for til næsten at være allemandseje.
Siden databeskyttelsesforordningen blev vedtaget af EU i 2016, og den sammen med den danske databeskyttelseslov trådte i kraft i 2018, har databeskyttelse fået stigende betydning for mange virksomheder, myndigheder og organisationer. Mange organisationer er også blevet klar over, at databeskyttelsescompliance ikke er noget, som man etablerer natten over.
Organisationens struktur og kultur spiller en hovedrolle i forhold til at implementere databeskyttelse og ny teknologi.
Ny brug af personoplysninger
Brug af nye, teknologiske løsninger gør ofte, at der er flere databehandlere, som kommer i kontakt med personoplysningerne. Det betyder, at der skal indgås lovpligtige databehandleraftaler i lange og ikke altid lige transparente databehandlerkæder. Fokus er på, at brugernes, borgernes, kundernes rettigheder ikke forringes i nogle af leddene. Nogle systemer benytter også cloudløsninger, som ofte lægger et yderligere lag på kompleksiteten, fordi det kræver tilladelse til overførsel af personoplysninger til ikke-sikre tredjelande uden for EU.
Det gør også overholdelsen af reglerne mere kompleks for de dataansvarlige. F.eks. at give information til de registrerede om behandlingen af deres personoplysninger, føre en fortegnelse, gennemføre risikovurderinger og konsekvensanalyser (Data Protection Impact Assessments, DPIA).
Teknologiforståelse og transparens
Når virksomheder, myndigheder eller organisationer implementerer ny teknologi med personoplysninger, er indsigt i teknologiens funktionalitet en forudsætning for viden om, hvordan personoplysningerne bliver behandlet, og hvordan den dataansvarlige sikrer compliance med reglerne.
Hvis en AI-løsning f.eks. indeholder en black box, hvor det ikke er muligt at gennemskue og dokumentere, hvordan løsningen når frem til resultatet, mangler transparensen. En leverandør, som ikke selv er i stand til at beskrive og forklare funktionaliteten i sin løsning, står dårligt i forhold til andre leverandører, som kan.
GDPR-compliance kan være fundament for digital compliance
De fleste organisationer har gjort sig erfaringer med GDPR. Hvad virker, og hvad virker ikke. Det betyder også, at organisationers fortsatte arbejde med digital compliance naturligt tager afsæt i det compliancearbejde, som er gjort i relation til GDPR. Det er platformen at bygge videre på, når der skal sikres compliance i en brede digital kontekst.
GDPR er ikke kun en juridisk opgave
GDPR og den danske databeskyttelseslov er jura, men arbejdet med at overholde databeskyttelsesretlige regler ikke kun en juridisk opgave. Den erfaring har mange virksomheder gjort sig, når de har arbejdet intensivt med databeskyttelse.
Arbejdet med databeskyttelse skal tage udgangspunkt i organisationens konkrete behandling af personoplysninger. Organisationens styring af databeskyttelse (governance) skal være opbygget herfra. Det sikrer, at medarbejdere har den nødvendige viden om databeskyttelse og det krævede niveau for compliance.
Tidligere troede man i mange organisationer, at arbejdet med databeskyttelse var noget man kom i mål med og ikke skulle forholde sig til længere. Sådan er det ikke. Så længe en organisation som enten dataansvarlig eller databehandler opbevarer personoplysninger, skal arbejdet med databeskyttelse være en integreret del af organisationens processer og procedurer.