Når du skal spise en elefant, er det altid en god ide at tage én bid af gangen.
Således gælder det også fordøjelsen af EU's persondataforordning, som er gældende lovgivning i alle EU-medlemsstater inklusiv Danmark fra cirka midten af 2018.
Ved første øjekast kan forordningen virke som en næsten uendelig strøm af stramninger og kringelkroge af regelsæt, der ved overtrædelse både kan koste bøder i forhold til omsætningen og prestigetab ved meldepligt om tabte data
Det kan du læse mere om her: Disse tre ting i EU's nye persondata-lov er danske virksomheder især bekymrede over
Det er ikke raketvidenskab
En god, systematisk planlægning er dog vejen frem igennem den digre persondataforordning ud fra devisen, at hvis du fejler i din planlægning, planlægger du at fejle.
Du og din virksomhed har omkring to års tid til at forberede jer på den nye persondatalovgivning.
Det er ikke er oceaner af tid set i lyset af, hvor omfattende det nye lovkompleks bliver.
Derfor serverer Computerworld dig med hjælp fra advokat og partner Michael Hopp fra advokatfirmaet Plesner syv gode råd til at blive persondata-klar.
"At blive klar til persondata-reglerne er absolut ikke rocket science, men det er dataarbejde på den hårde måde," forklarer Michael Hopp indledningsvist.
1. råd: Skab overblik over data
Advokaten foreslår, at du først og fremmest skal finde ud af, hvad det egentlig er for nogle persondata, som din virksomhed skal beskytte.
Konkret peger han på, at den indledende del af dataarbejdet foregår ved at klassificere og kortlægge virksomhedens persondata.
Det gælder lige fra alle data som oplysninger om kontaktpersoner i sælgernes CRM-systemer over indsamling af e-mailadresser og telefonnumre ved konkurrencer i marketingafdelingen og så til de mere følsomme persondata.
"Overblikket skabes ved, at relevante dele af forretningen sætter sig ned sammen og finder ud af hvilke former for data, som virksomheden ligger inde med både lokalt og hos cloud- og outsourcingpartnere. Her er it-afdelingen et godt sted at starte," lyder det fra Michael Hopp.
I denne fase peger advokaten på, at din virksomhed skal kigge indad og spørge sig selv om, hvilke data I har liggende, hvor kommer de fra, hvor længe gemmer I disse data, og hvem deler man dem med.
2. råd: Hvad gælder for jer?
Når I har kortlagt og klassificeret data, er det på tide at finde ud af hvilket bestemmelser i forordningen, som gælder jeres virksomhed.
For det kan blive dyrt ikke at overholde reglerne. Men omvendt er det også dyrt at bruge ressourcer på at overholde krav, som man hverken er forpligtet til eller af anden årsag har interesse i at overholde.
"Ikke alle regler er altid relevante for alle virksomheder. Nogle af bestemmelserne er skærpende - eksempelvis kravene om behandling af følsomme oplysninger - mens andre andre bestemmelser undtager for pligter. Det er for eksempel ikke alle virksomheder, der skal udpege en data protection officer," siger Michael Hopp.
Læs også: Skal din virksomhed have en 'data protection officer'?... og kan indkøbschefen bruges?
3. råd: Kig på jeres nuværende praksis
I forordningen er der generelt flere skærpelser end lempelser, og derfor skal din virksomhed som udgangspunkt også have styr på, hvordan I overholder reglerne i dag.
"Der vil sandsynligvis være mange, der har behov for at justere deres processer og praksis for at leve helt op til reglerne," siger Michael Hopp.
Han peger på, at I skal analysere jer frem til, om I har huller i overholdelsen af de nuværende regler, og om der er nogle alvorlige og åbenlyse mangler, som kræver umiddelbar handling her og nu.
"Her skal virksomheden kort og godt spørge sig selv: hvordan bruger vi persondata i dag, og er det i overensstemmelse med forordningen," forklarer Michael Hopp.
4. råd: Beskriv virksomhedens kontrolmål
Når virksomheden har fået styr på sin nuværende praksis omkring opbevaring, brug, sletning og deling af persondata ifølge forordningen, er det på tide at kigge fremad mod den løbende vedligeholdelse af forordningen.
Læs også: Sådan gør Coop sig klar til nye skrappe persondata-regler fra EU
Det skal gøres ved at beskrive de målsætninger, som I skal leve op til med de nye regler.
"Denne øvelse handler om at udtrække essensen af forordningens 99 artikler til en række konkrete målsætninger," forklarer Michael Hopp.
Han eksemplificerer det med, at disse målsætninger kunne være, at der skal iværksættes processer og kontroller til at sikre, at man overholder slettefrister. Det kunne også dreje sig om indsamling af mailadresser til markedsføringsformål, hvor I systematisk skal sikre jer, at alle har samtykket til brugen.
"Vent med at tage stilling til, hvordan I konkret vil opfylde målsætningerne. En del af dem opfylder I måske allerede, og for de øvrige målsætningers vedkommende giver det mening at overveje, hvordan I mest hensigtsmæssigt kan opfylde dem," siger Michael Hopp og fortsætter:
"Når I har overblik over alle kravene, vil I have bedre mulighed for at designe løsninger, hvor enkelte processer eller kontroller bidrager til at opfylde flere kontrolmål."
5. råd: Foretag en risikovurdering
Advokaten forklarer, at store dele af EU's persondataforordning - og dermed den kommende lovgivning - bygger på nødvendigheden af at nedbringe risikoen for de registrerede personer.
"Man skal gøre, hvad der er nødvendigt for at nedbringe risikoen for den registrerede til et acceptabelt niveau. Med andre ord - man er ikke forpligtet til at opretholde foranstaltninger, hvis det ikke er nødvendigt for at nedbringe en risiko," siger Michael Hopp.
Han peger på, at risiko i denne forbindelse ikke blot er rettet mod almindelig sikkerhed, men også mod, om man overtræder de almindelige krav i forordningen.
"Med andre ord: man skal foretage en risikovurdering eksempelvis i forhold til, hvad risikoen er for, at man ikke overholder slettepligten, og hvad konsekvensen af manglende overholdelse vil være for den registreredes ret til beskyttelse af sine persondata," siger han.
Læs også: Opråb til alle chefer: EU-stramningen af persondata-reglerne er dit ansvar
Samtidig er en virksomhed dog forpligtet til at dokumentere, hvordan den har overvejet relevante risisci herunder ikke mindst de risici, som man vælger ikke at fokusere på.
"Her er grundspørgsmålet: hvor alvorligt er det, hvis det går galt?" nævner Plesner-advokaten og fortsætter:
"Virksomheden skal have for øje, at optimal og maksimal indsats ikke er det samme. Førsteprioritet omkring risikovurderingen vil ofte ligge i de følsomme oplysninger som eksempelvis helbredsoplysninger om kontaktpersoner i virksomhedens CRM-system."
6. råd: Design løsningen
Når virksomheden har fået overblik over dens nuværende beholdning af persondata, processer og kontroller til fremtidig styring af data og de områder, hvor den i dag ikke lever op til forordningen, er det på tide at få klargjort, hvordan virksomheden så kommer på plads med manglerne.
"Det gælder både de konkrete mangler i forhold til aktuelle behandlinger i dag, og så mangler i forhold til opfyldelse af kontrolmål, hvilket vil sige processer for sikring af fremtidig overholdelse," siger Michael Hopp.
Han peger her på henholdsvis tredje råd og fjerde råd i denne oversigt.
Han forklarer, at det nu er på tide at designe og dimensionere løsningernes håndtering af persondata i overensstemmelse med den risikoanalyse, som er beskrevet under femte råd.
"Det hele skal dokumenteres omend i varierende detaljeringsgrad. For du overtræder reglerne, hvis du bliver udsat for kontrol og ikke kan svare. Med andre ord skal du have dokumentationen på plads, hvis/når myndighederne kontakter dig," lyder det fra Michael Hopp.
Tilmeld dig Computerworlds heldags-seminar om den nye persondataforordning: Computerworld Event: Bliv klar til EU's nye persondataforordning.
7. råd: Konkret implementering og opfølgning
Når alt er diskuteret og dokumenteret i form af fremtidige processer og nuværende mangler, skal I have implementeret det kommende regelsæt i praksis - og ikke mindst planlægge hvordan I løbende følger op på implementeringen.
For ingen perfekt plan hjælper noget, hvis den ikke bliver ført ud i livet, og der bliver fulgt op på den.
"Implementering af forbedringer samt nye processer og kontroller bør følge virksomhedens normale processer for gennemførelse af forandringer. Her er det vigtigt ikke at undervurdere de organisatoriske og psykologiske faktorer, samt det heraf afledte behov for forandringsledelse," siger Michael Hopp.
Han pointerer, at både implementering og opfølgning formentlig kræver intern uddannelse af alle medarbejdere, der har at gøre med persondata - især hvis disse medarbejdere ikke ved, at de behandler persondata.
"Mange tænker eksempelvis ikke over, at de sidder med persondata mellem hænderne, når de modtager et CV til en jobansøgning. I disse tilfælde skal medarbejderne være opmærksomme på særlige regler og procedurer," forklarer Michael Hopp.
Advokaten runder virksomhedens huskeliste af med at tilskynde til opfølgning af, hvorvidt reglerne og virksomhedens processer nu også bliver overholdt i praksis efter en periode på tre til seks måneder.
"Det ses ofte, at forandringer ikke slår igennem i virksomheder, der ikke følger op. I så fald kan indsatsen i rådene fra 1 til 6 give ledelsen en falsk tryghed, hvilket i sidste ende kan være værre end en positiv viden om tingenes reelle og måske mangelfulde tilstand."
Læs også:
Overblik: Få styr på EU's nye persondata-forordning - her er alt du behøver at vide
Tilmeld dig Computerworlds heldags-seminar om den nye persondataforordning: Computerworld Event: Bliv klar til EU's nye persondataforordning.