GDPR
– HJÆLP TIL FORSTÅELSE AF REGLER OG FORANKRING I ORGANISATIONEN
GDPR er for alle. GDPR (eller databeskyttelse) er gået fra at være noget, som få specialister interesserede sig for til næsten at være allemandseje.
Siden databeskyttelsesforordningen blev vedtaget af EU i 2016, og den sammen med den danske databeskyttelseslov trådte i kraft i 2018, har databeskyttelse fået stigende betydning for mange virksomheder, myndigheder og organisationer. Mange organisationer er også blevet klar over, at databeskyttelsescompliance ikke er noget, som man etablerer natten over.
Organisationens struktur og kultur spiller en hovedrolle i forhold til at implementere databeskyttelse og ny teknologi.
Ny brug af personoplysninger
Brug af nye, teknologiske løsninger gør ofte, at der er flere databehandlere, som kommer i kontakt med personoplysningerne. Det betyder, at der skal indgås lovpligtige databehandleraftaler i lange og ikke altid lige transparente databehandlerkæder. Fokus er på, at brugernes, borgernes, kundernes rettigheder ikke forringes i nogle af leddene. Nogle systemer benytter også cloudløsninger, som ofte lægger et yderligere lag på kompleksiteten, fordi det kræver tilladelse til overførsel af personoplysninger til ikke-sikre tredjelande uden for EU.
Det gør også overholdelsen af reglerne mere kompleks for de dataansvarlige. F.eks. at give information til de registrerede om behandlingen af deres personoplysninger, føre en fortegnelse, gennemføre risikovurderinger og konsekvensanalyser (Data Protection Impact Assessments, DPIA).
Teknologiforståelse og transparens
Når virksomheder, myndigheder eller organisationer implementerer ny teknologi med personoplysninger, er indsigt i teknologiens funktionalitet en forudsætning for viden om, hvordan personoplysningerne bliver behandlet, og hvordan den dataansvarlige sikrer compliance med reglerne.
Hvis en AI-løsning f.eks. indeholder en black box, hvor det ikke er muligt at gennemskue og dokumentere, hvordan løsningen når frem til resultatet, mangler transparensen. En leverandør, som ikke selv er i stand til at beskrive og forklare funktionaliteten i sin løsning, står dårligt i forhold til andre leverandører, som kan.
GDPR-compliance kan være fundament for digital compliance
De fleste organisationer har gjort sig erfaringer med GDPR. Hvad virker, og hvad virker ikke. Det betyder også, at organisationers fortsatte arbejde med digital compliance naturligt tager afsæt i det compliancearbejde, som er gjort i relation til GDPR. Det er platformen at bygge videre på, når der skal sikres compliance i en brede digital kontekst.
GDPR er ikke kun en juridisk opgave
GDPR og den danske databeskyttelseslov er jura, men arbejdet med at overholde databeskyttelsesretlige regler ikke kun en juridisk opgave. Den erfaring har mange virksomheder gjort sig, når de har arbejdet intensivt med databeskyttelse.
Arbejdet med databeskyttelse skal tage udgangspunkt i organisationens konkrete behandling af personoplysninger. Organisationens styring af databeskyttelse (governance) skal være opbygget herfra. Det sikrer, at medarbejdere har den nødvendige viden om databeskyttelse og det krævede niveau for compliance.
Tidligere troede man i mange organisationer, at arbejdet med databeskyttelse var noget man kom i mål med og ikke skulle forholde sig til længere. Sådan er det ikke. Så længe en organisation som enten dataansvarlig eller databehandler opbevarer personoplysninger, skal arbejdet med databeskyttelse være en integreret del af organisationens processer og procedurer.
GDPR i forhold til
andre digitale regelsæt
GDPR har været første bølge af den digitale regulering, som EU har vedtaget eller er ved at vedtage. GDPR-elementerne i de andre regelsæt er f.eks. meget høje bødeniveauer og krav om at udarbejde konsekvensanalyser.
Det betyder, at viden om GDPR har stor værdi i forhold til de øvrige regelsæt. Da GDPR har banet vejen og sat standard for, hvordan man anvender og implementerer digitale reglerne, og hvordan EU Domstolen og nationale domstole og myndigheder fortolker dem.
Sådan kan vi hjælpe jeres organisation
Du skal vælge Lex Futura, hvis
- dit digitale compliancearbejde skal forankres i den eksisterende organisation
- du har en forretningsmodel baseret på digitalisering eller tillid fra kunder og samarbejdspartnere
- du vil være sikker på, at dit digitale complianceprojekt kommer i drift eller kan sælges
- hvis du behandler mange og/eller følsomme personoplysninger (f.eks. helbredsoplysninger eller biometriske oplysninger)
- hvis du ønsker at udnytte alle digitaliseringens muligheder og samtidig leve op til alle relevante eksterne og interne regler
- hvis du vil have din compliance til at leve i hele organisationen og ikke bare have et knopskud.
Lex Futura har mere end tyve års erfaring med formidling i øjenhøjde og opfyldelse af regler om digitalisering. Vi har juridisk indsigt på tværs af regelsæt, høj teknologiforståelse og viden om, hvordan transformation forankres.