Mere GDPR?

Mere GDPR?

Jeg var forbi Microsoft i denne uge, for at høre deres “version” af GDPR, og det var ganske interessant. Derudover har jeg ikke været i det nye Microsoft hus, så det var bestemt en god oplevelse også at se det nye hus.

Mit besøg hos Microsoft var interessant af flere årsager; For det første så var de fleste deltagere fra IT. Det får mig til at antage at rigtig mange IT-afdelinger er ved at få “overdraget” GDPR-opgaven.

For det andet, så virkede det som om at der er mange som er usikre på opgaven, og opgavens indhold.

Hvem ejer GDPR opgaven?

Selvom IT mange steder får overdraget GDPR opgaven, så er det er min opfattelse at GDPR er et forretningsanliggende. IT kan hjælpe med at udføre de IT-mæssige opgaver, som der kræves for at være commpliant. I forhold til GDPR, er hovedparten af opgaven dog et forretningsanliggende.

Derudover kan der assignes en DPO, hvis organisationen har behov for det.

Der er behov for DPO-rollen:

  • Hvis karakter, omfang eller formål af kerneaktiviteter, hos en dataansvarlig, eller databehandler, består af aktiviteter, som kræver regelmæssig og systematisk overvågning af registrerede i større omfang.
  • Hvis kerneaktiviteter, hos en dataansvarlig, eller databehandler, består af behandling følsomme oplysninger eller personoplysninger vedrørende domme eller overtrædelser af lov.

Her skal vi huske på at DPO rollen er ikke en IT-mand/kvinde med særlige beføjelser. Det er heller ikke en dokumentations-ekspert, som har overblik over hvilke data forretningen gemmer.

DPO-rollen er på visse punkter en rådgivende funktion, som kan hjælpe en organisation med at overholde gældende regler. På andre områder er DPO-rollen en udførende funktion, som f. eks. at være kontaktpunkt i forhold til Datatilsynet.

Et af de vigtigste elementer at huske på er, at det ikke er IT der ønsker at gemme data! Det er forretningen, som et led i en forretningsmæssig aktivitet har bedt om, eller modtaget, persondata, som IT holder for forretningen.

GDPR betyder at forretningen nu skal forholde sig til de data de beder om, eller modtager. Dette betyder at en af de første aktiviteter er at undersøge hvilke data man beder om. Hvor disse data bliver brugt, og af hvem.

Hvordan kan vores organisation blive compliant?

Henning Mortensen har tidligere givet sit bud på hvordan man kommer i gang med GDPR opgaven:

Når forretningen har skabt sig et overblik over data, så er der basis for at begynde at tænke IT.

Og når alt dette er sagt, så skal vi huske at vi er alle i samme båd…

GDPR er hele organisationes ansvar