Devoteam har udarbejdet en visualisering af, hvordan en implementering af EU-persondataforordningen kan se ud, hvis det skal være langtidsholdbart og bæredygtigt. Vi mener, at det er forkert at starte med checklister og en deltaljeret beskrivelse af et målbillede. Den tilgang skaber ikke en reel forandring og man risikerer at forspilde muligheden for at følge ånden i forordningen.
Det er Devoteams opfattelse, at principperne i forordningen er sunde og vigtige for, at vi alle kan bevare den indbyrdes tillid i digitaliseringen af vores samfund. Vi er alle kunder og borgere ved siden af de opgaver, vi varetager i vores arbejde.
Hvis vi forsøger at snige os udenom, så taber vi alle sammen. Illustrationen kan downloades til højre på siden, og er forklaret i følgende.
Fyrtårnet
De syv principper, vi har beskrevet i vores artikel omhandlende persondataforordningen, er vores fyrtårn – det vi navigerer efter. Det er ikke nødvendigvis bemandet med en Databeskyttelsesrådgiver (DPO), men kan være det. En DPO er de registreredes ”ombudsmand”, og varetager deres interesser i virksomheden. Han holder sig ikke i fyrtårnet, men ses bevæge sig rundt i organisation, og hjælper til, hvor han kan.
De tre nødvendige kompetenceområder:
For at kunne dække alle områder af EU-persondataforordningen, så er der behov for tre grundlæggende kompetencer; Juridisk, Teknisk og Forretningsmæssig.
Alle tre kompetencer bør aktivt involveres, så der ikke opstår en skævvridning eller en ”blind vinkel”. Farverne på personerne er brugt konsekvent, så deres samarbejde kan ses på tegningen.
De syv forskellige discipliner
- Forretningsprocesser
Her arbejder vi med formålet med databehandling ud fra et forretningsmæssigt synspunkt. Hvad giver fælles værdi for virksomheden og kunder/borgere, og hvad er nødvendigt? - Aftaler og kontrakter
Her giver forretningen hånd med dataejerne, og sikrer, at de får en god og fair behandling. Juristerne sørger for at aftalerne er klare og fyldestgørende. - Sikkerhed
Her tager vi vare på fortrolighed, integritet og tilgængelighed. Vi vurderer risici, og er klar til at reagere, hvis persondata kompromitteres. Beredskabet er på plads. - Juridisk gennemgang
Her sørger vi for at gennemgå aftaler med leverandører og samarbejdspartnere, så de altid er aktuelle og korrekte. Vi sikrer, at ansvarskæden ikke bliver brudt, eller har svage punkter. - Databeskyttelse gennem design
Her vurderer vi, hvordan nye teknologier kan implementeres uden at påvirke vores efterlevelse negativt. Nye apps, nye cloudtjenester og nye integrationer vurderes i forhold til kravene. - Adgangsstyring
Her sikrer vi, at de rette brugere har adgang til persondata efter need-to-know princippet. Processer for oprettelse og nedlæggelse af brugere evalueres og aktuelle rettigheder gennemgås. - Informationers livscyklus
Her sørger vi for, at informationer ikke opbevares længere end det er nødvendigt, eller længere end vi har aftalt. Dette er, i praksis, en ny disciplin for de fleste virksomheder.
Dem, det hele handler om
Det er personerne i de gule trøjer, som forordningen skal beskytte, og som vores indsatser skal fokuseres omkring.
Pas på papirtigeren
En ”papirtiger” er et udtryk, som kommer fra Kina. Det udtrykker, at noget er truende, men i virkeligheden tandløst. Udtrykket bruges blandt andet om strategier og politikker, som ikke afspejler virkeligheden eller er implementeret i praksis. Find dem selv på tegningen, og pas på ikke at ende med én, når du arbejder med EU-persondataforordningen. Gør det operationelt og enkelt.
Vi tror ikke på færdige checklister og skabeloner. Vi designer den praktiske tilgang, der fungerer bedst for den enkelte virksomhed.
Hvis du vil høre om vores praktiske erfaringer fra konkrete projekter, så deler vi dem gerne ved et personligt møde.