5 essentielle learnings fra compliance projekter

Af Anna Lykke, Managing Partner, Innovation Lab

Det er mange bolde der skal kastes og gribes, når compliance-kravet ikke længere er til at snige sig udenom i en helt almindelig dansk organisation. Organisationer oplever lige nu en kædereaktion hvor kravet om gensidige databehandleraftaler leverandører, kunder, samarbejdspartnere imellem fortsætter med at sprede budskabet på tværs af brancher. Der er god grund til at tage fat i projektet, hvis man endnu har udskudt det eller få fokus på næste skridt i sin organisations compliance, så de gode intentioner ikke ender i en mappe bagerst på hylden – der er nemlig en del goodwill at hente:

Oprydning er lig overblik 

Vi oplever jævnligt at virksomheder finder en organisatorisk gevinst, når de gennemgår compliance-arbejdet. Kortlægningen af dataprocesser i organisationen giver både indblik i hvordan hjulene reelt kører rundt, men også anledning til at opdage de unødvendige processer, der måtte være – selv dem der ikke involverer persondata. Det giver mulighed for at foretage justeringerne for mere effektive arbejdsgange. Vi er stødt på en række programmer og systemer hos vores kunder, hvis funktioner ikke er i overensstemmelse med det, de reelt har behov for til den pågældende proces. Det samme gælder transporten af data som ofte kører via mange kanaler og kontaktpunkter, og har vist sig unødvendige for det bestemte formål. Ved at gøre opmærksom på dette og inddæmme adgang til data efter parolen ”et nødvendigt, legitimt formål”, har en række medarbejdere fået lettet det administrative arbejde, og fået hænderne frie til at udføre deres primære arbejdsopgaver. Det giver mere luft i arbejdsprocesserne samtidig med, at data beskyttes i højere grad.

Tillid, troværdighed – og god employer branding

Vores kunder får en hel del goodwill i deres respektive sektorer for at være proaktive på at drive en ansvarlig forretning med gode dataetiske principper. Det gør kunder/samarbejdspartnere trygge, og det er godt for forretningen. I visse brancher er der særlige krav til en høj etisk standard, men selvom din organisation ikke har databehandling som kerneaktivitet, er det at have udarbejdet en ordentlig persondatapolitik en stærk signalværdi i sig selv. Sidestillet med CSR og purpose aktiviteter, kan vi på listen over bæredygtige tiltag placere databeskyttelse. Har du i dit brand afgivet et løfte om at være en tillidsfuld spiller på markedet, er det nødvendigt at gøre en fortløbende indsats for at leve op til det – og databeskyttelse er nu ingen undtagelse. Med GDPR er der en anledning til at implementere gode, sunde, databeskyttende principper for fremtiden som teknologien og digitaliseringen eksploderer yderligere, og din forretning eller organisation skal kunne imødekomme omstændighederne.

Fremtidige aktiviteter og tiltag skal naturligvis have indarbejde de gode persondatapolitikker allerede i idéfasen, og i en overgangsperiode fra gamle normer til nye love, er det ekstra vigtigt at være opmærksom på fremtidens krav til din forretning, og ikke en her-og-nu-smutvej. Organisationer der gør en indsats for at drive en ansvarlig forretning og tage godt hånd om medarbejderens, borgerens og kundens data, vil omverden behandle derefter. De organisationer som har en bæredygtig tilgang til drift, dataanvendelse og miljøhensyn, vil opleve en markant bedre markedsposition, end dem der ikke gør det – også i rekrutteringssammenhæng.

Medarbejdere er ambassadører 

I vores arbejde med implementering af GDPR compliance har vi særligt fokus på, at medarbejderne er involveret i projektet og opnår viden om, hvornår reglerne ændrer deres vante arbejdsgange, og hvad alternativerne er: det gør dem i stand til at varetage god databehandling, men også drage deres viden ind i fx oplæringen af nye medarbejdere, projektudvikling eller møder med kunder eller samarbejdspartnere, hvor der kan ske en udveksling af persondata. Og det gør dem trygge i håndteringen af persondata i det daglige. Din bedste ambassadør er medarbejderen: er de klædt på til reglerne og kan operationalisere dem mandag morgen, vil du have stærke medspillere og repræsentanter for din forretning.

Medarbejderne skal i enkelte situationer kunne skelne mellem rigtigt og forkert i behandlingen af persondata – særligt for at undgå brud ved fejlagtig håndtering. Det er medarbejderen, der kender forretningen og har fingeren på pulsen i det daglige, hvorfor det nye forslag fra EU-kommissionen om en whistleblower-ordning til personer, med viden om brud på databeskyttelsesforordningen, bør være en større trussel for organisationer end besøg fra Datatilsynet. Den velkendte Cambrigde Analytica / Facebook sag er et godt eksempel på en sådan situation. Det er derfor ikke nok at flage fine forhold på et stykke papir udadtil, og presse en personalehåndbog med nogle paragraffer ned over medarbejderne – det er en meget central opgave at involvere og undervise. GDPR compliance kræver altså en vedvarende indsats med fokus fra ledelsen og rettidig omhu, hvis det skal skabe værdi på sigt.

Forarbejdet er gjort: hop med på vognen

I en lang række projekter har vi bistået med rådgivning på sidelinjen for kunder, der grundet størrelse og ressourcer skulle udføre compliance-arbejdet selv. Der var hjælp at hente fra etablerede institutioner som har en interesse i at få udbredt databeskyttelse i Danmark: om det er skabeloner til databehandleraftaler, skemaer til datastrømsanalyse og skabeloner til fortegnelsen eller projektlederværktøjer. Arbejdet er gjort rigtig fint af både brancheorganisationer, myndigheder og virksomheder, der rådgiver og bistår i overgangen til GDPR compliance. Det samme gælder testen fra Datatilsynet og Erhvervsstyrelsen kaldet PrivacyKompasset: det er et online redskab, som din organisation kan avende til at tjekke eventuelle huller i databeskyttelsen og blive klogere på ansvarsområder indenfor lovens rammer. Der er med andre ord rigeligt materiale til rådighed, så din organisation kan danne et overblik over compliance-arbejdet, hvis ressourcerne er knappe – både det indledende og vedligeholdelsen efter 25. maj. Tjek eventuelt også for nye, opdaterede vejledninger på Datatilsynets hjemmeside.

Databeskyttelsesværktøjer er til rådighed

Dataanvendelse er kommet for at blive, og det samme gælder databeskyttelse. Der er helt naturligt opstået en lang række forretninger på den baggrund, og nogle udbyder rigtig fine værktøjer til vedligeholdelse, overblik og kontrol af datastrømme af nye som gamle aktiviteter. Initiativerne pibler frem i øjeblikket, og de giver nye muligheder for nemme, digitaliserede metoder for vedligeholdelse af compliance-arbejdet. På den måde bliver det nemmere at holde compliance-arbejdet ajourført og mindre manuelt.

GDPR compliance er efterhånden en velkendt størrelse hos de fleste. Ordene har indgået i mange skræmmebilleder i det forgangne år, og sanktionering for manglende overholdelse af reglerne har taget forsider. Der ligger sandt nok en motivator gemt i truslen om bøder hos mange organisationer, og hvis det er nok til at igangsætte og vedligeholde compliance-arbejdet, er det et fint sted at starte, men uholdbart på sigt. Hvis din organisation har igangsat arbejdet, og der er lagt en konkret plan for udførsel herunder justeringer og vedligeholdelse, kan man gå 25. maj og fremtiden i møde med ro i maven.

Det samme gælder når opkald fra kunder og samarbejdspartnere tikker ind, og de har spørgsmål til din organisations databeskyttelse. Men hvis din organisation endnu ikke har en plan for GDPR compliance, risikerer man at få håret i postkassen, når omverden banker på døren. Datatilsynet er muligvis den sidste institution, man skal frygte. Der bør i stedet være fokus på at indgå i et samlet landskab af ansvarlige aktører, og sikre sin organisation til fremtidens krav og hensyn – i samarbejde med leverandører og kunder.

Kilde: Innovation Lab