Læring efter halvandet år med GDPR 

Forkromede juridiske rammeværker bliver nu forankret, operationaliseret og integreret meget bedre. Her cirka halvandet år efter GDPR-opstarten er mange virksomheder i gang med at gøre det smartere.

Mange virksomheder, som fik et digert juridisk rammeværk på plads omkring 25. maj sidste år, kunne glæde sig over, at de ’klarede skærene’, men nu er de i gang med en oprydning. Det store kompleks var måske nok juridisk set i fin form, men det savnede noget dynamik og noget eksekverbarhed. Jura-sprog egner sig sjældent til effektiv organisatorisk implementering, og den får man fokus på, når man står og skal opdatere og revidere sine dokumenter.

Der er mange steder hvor lovgivningen er blevet overfortolket og der dermed er brugt for mange resourcer som fx udarbejdelse af unødvendige databehandleraftaler og dataflow diagrammer.

For hvert dokument man opretter og bruger timer på, skal man allokere timer til årlig vedligeholdelse og opdatering. Mange større og forkromede overliggere skal brydes ned i helt konkrete og styrbare handlinger. Hvis man ikke har tænkt på dette dynamiske element, så står man meget hurtigt med en komplet forældet styring af persondata i sin virksomhed.

Det er den realitet, som nu banker på døren mange steder. Vi mærker den som øget efterspørgsel på at indbygge GDPR-kravene i den eksisterende risikostyring og informationssikkerhed. Og vi foreslår typisk at bruge den governance struktur og de metodikker, begreber og it-systemer, som allerede er i drift, til også at understøtte GDPR.

Datatilsynet fejrede et års fødselsdag med at indstille Taxa 4X35 til en bøde på 1,2 mio. kr for at beholde kundernes telefonnumre længere, end selskabet selv har meldt ud. På et kontrolbesøg fandt tilsynet data om op mod ni mio person-henførbare taxature, der var ældre end to år. Datatilsynet lægger altså op til at følge en linje, som flugter med intentionerne i GDPR.  En god grund til at gøre det nemt og effektivt at være compliant! Men hvordan bødestørrelsen ender må vi se.

 

Af Tomas Hellum, direktør for LinkGRC

og rådgiver inden for governance, risk og compliance

 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *