Spørgsmål: Hvad er din baggrund, og hvad har bragt dig til at arbejde med ​​GDPR?

Svar:

Jeg er uddannet bibliotekar for snart mange år siden.

Efter nogle år som folkebibliotekar og privat ansat bibliotekar blev jeg i 2008 selvstændig informationsspecialist. Mine opgaver har her hovedsageligt været informationshåndtering, herunder data- og dokumenthåndtering.
Derfor var det en naturlig fortsættelse at kortlægge datastrømme i forbindelse med behandling af ​​persondata.

Spørgsmål: Kan du kort introducere os til GDPR og dens vigtighed?

Svar:

For mig er GDPR mere end bare love og regler!
Vi lever i en tid, hvor persondata er blevet en værdifuld vare, og hvor både tech-giganter og regeringer - i stigende grad - anvender information om individer til overvågning og manipulation.
Det bliver således stadig mere nødvendigt, at den enkelte får kontrollen over egne data tilbage.

I Danmark har vi altid bygget vores samfund på tillid og troværdig opførsel. Vi kan til tider måske have været naive i vores tilgang til andre og har frit og åbent delt og talt om os selv.
Men nu er det tid til at vise større skepsis og få en god praksis for deling og brug af personlige data.
Dette gælder naturligvis også for de virksomheder og organisationer, der har tilladelse til at "låne" en persons persondata i et stykke tid.

Jeg er sikker på, at vi inden for en kort årrække vil finde det lige så naturligt at udvise god datapraksis og rettidig omhu i håndtering af persondata, som vi allerede gør i dag, når det gælder håndtering af bilag og dokumentation til årsregnskabet.

Spørgsmål: Hvordan ændrede GDPR måden, hvorpå virksomheder fungerer i det digitale rum?

Svar:

Da GDPR trådte i kraft i 2018, var reglerne desværre meget uklart definerede. Det skabte "mange kokke" og desværre også mange mytedannelser, der ikke svarede til GDPR-artiklerne.
Mange mennesker troede derfor:

  • At de ikke længere måtte kontakte kunder og samarbejdspartnere
  • At deltagerlister nu var forbudt
  • At alle leverandører var databehandlere
  • At nu skulle alle persondata slettes
  • At man ikke længere måtte spørge om f.eks. allergi ved en eventtilmelding
  • At alle persondata skulle være i et låst skab med en stor kæde rundt om

Det skabte en negativ holdning til GDPR - på niveau med de gængse holdninger til tysklærere, P-vagter og tandlæger! 😊

Heldigvis er de fleste klar over, at GDPR ikke blot er et bureaukratisk regelsæt, men en åbenlys chance for at optimere sine interne processer, stille krav til sine IT-systemer (og partnere) - og få begrænset data til at være så kort tid som muligt i så få systemer som muligt.

Når vi taler om ændringer på IT-fronten, er det min oplevelse, at mange er blevet mere kritiske i forhold til valget af IT-systemer og applikationer til tablets osv.

Jeg ser:

  • At de fleste mennesker nu vælger anerkendte og større IT-leverandører end hidtil.
    Det er blevet vigtigt, at softwareløsningerne lover, at de overholder GDPR (selvom små bogstaver ikke altid læses). De fleste mennesker er også blevet bedre informeret om, hvorfor og hvordan de bruger persondata

  • At følsomme - og fortrolige - persondata sendes mere sikkert; de fleste har i dag hørt om de skærpede krav til "sikker post"

  • At indsigelsesretten har skabt nye og forbedrede kulturer med hensyn til notefelter i fagsystemer.
    Mange steder er der lavet standarder for et fælles sprog, hvor subjektive antagelser sorteres.

Spørgsmål: Hvad har været de største udfordringer for lokale virksomheder, når de anvender lovgivningen i praksis?

Svar:

Den største ændring for små virksomheder har været og er stadigvæk:

  1. At skabe den nødvendige tekniske sikkerhed;
    1. F.eks. ved ikke at gemme på lokale pc'er
    2. At få korrekt adgangskontrol
    3. Ikke bruge pc'en til privat brug
    4. Ikke bruge Hotmail eller andre semi-sikre postsystemer

  2. At have tilstrækkelige ressourcer til at ændre arbejdsgange og procedurer

  3. At få forståelse blandt kolleger

  4. At se behovet for ​​at anvende ressourcer til et GDPR-projekt i en - allerede - travl og presset arbejdsdag

Spørgsmål: Baseret på din erfaring, kan du så nævne nogle nyttige metoder til at få et bedre greb om GDPR?

Svar:

Når det kommer til at skabe forståelse for GDPR, handler det om at tale så lidt jura og regler som muligt. I stedet bruger jeg altid tid på at tale om de principper, der ligger til grund for GDPR:

Gennemsigtighed (formål), ramme (basis), dataminimering, teknisk og organisatorisk sikkerhed osv.

De fleste mennesker kan genkende det!

Hvis principperne kan blive knyttet til en samlet værdidebat om:

  • Hvad virksomheden gerne vil stå for
  • Hvordan virksomheden vil blive kendt og nævnt
  • Hvordan virksomheden behandler deres kunder og ansatte

Ja - så er det lettere at overføre GDPR til gode vaner, valg af systemer og nye arbejdsgange

Det er som ethvert andet mål; det skal være fornuftigt og være perspektiveret for den modtager, der skal engagere sig og tage med på GDPR-rejsen!

Spørgsmål: Hvilken tjekliste ville være et godt udgangspunkt for et firma for at forblive compliant?

Svar:

Den nemmeste måde at udføre selvkontrol på er at starte med at udarbejde en artikel 30-fortegnelse. (Den kan fremstilles i f.eks. ARKIVO Online)

Når dette er gjort, vil du kunne tilføje flere elementer til hver behandlingsaktivitet.

  1.  Risikovurderinger
    1. Inklusive mulige dataovertrædelser

  2. Nye initiativer, når det gælder
    1. Teknisk sikkerhed
    2. Organisatorisk sikkerhed

  3. Procedurevejledninger
    1. Håndtering af persondata i de specifikke situationer

  4. Egenkontrol
    1. Har man fået nye systemer (inklusive adgangsstyring)?
    2. Har man fået nye arbejdsgange?
    3. Har man fået nye 3. parter (både selvstændigt dataansvarlige og databehandlere)?
      osv.

Derudover skal du også kontrollere, hvordan dine databehandlere konstant overholder de aftalte behandlingsinstruktioner.

Spørgsmål: Hvad er nogle af de bedste ressourcer til GDPR, og hvor kan vi finde eksperter i sagen?

Svar:

Når det kommer til GDPR-softwareløsninger, er der flere muligheder. Find dem på Google 😊 Men da jeg er ejer af ARKIVO Online, vil jeg naturligvis anbefale dette værktøj til dig.
Det er baseret på SharePoint Online. Derfor er det let at bruge, let integreret med (man kan eksportere alle data til Excel) Microsoft Office-produkter. Det har al den sikkerhed og kontrol, som Microsoft tilbyder.

ARKIVO Online opdateres konstant, når GDPR-reglerne opdateres, ændres og skærpes. ARKIVO Online koster DKK 3.500, - ved opstart og derefter 199, - pr. bruger pr. måned. Systemet kan afsluttes når som helst efter de første 3 måneder.

For at få medarbejdere på GDPR "vognen" kan det være en god ide at lege og spille sig til fælles persondata-værdier. ARKIVO har derfor udviklet et GDPR-spil, som er tilgængeligt i en standardversion med grundlæggende spørgsmål.

I 2019 har ARKIVO udviklet GDPR-spillet med nye og flere specialkort til sundhedssektoren, en skattestyrelse, en fagforening og en social organisation, hvor spørgsmålskortene tager fat på netop de helt aktuelle risikosituationer, som den pågældende organsiation oplever i sin daglige håndtering af persondata.

Med venlig hilsen

Hanne Biehl Laursen


 

­