Det haster med at blive klar til EU's nye persondataforordning

Advokat Jan Sandtrø og DLA Piper har rådgiver om næsten 100 GDPR-projekter. Her deler han ud af sine erfaringer om, hvad man bør gøre – og ikke gøre.

Læs erfaringerne fra næsten 100 GDPR-projekter

Lønsomt: Et GDPR-projekt kan give reducerede omkostninger, siger GDPR-ekspert Jan Sandtrø. Foto: Colourbox.

I disse dage gennemføres der mange projekter i selskaber og organisationer for at gøre dem klar til GDPR, men en del selskaber forholder sig fortsat afventende.

Jan Sandtrø i advokatfirmaet DLA Piper er en af Norges bedste advokater på GDPR-området og har hjulpet næsten hundrede virksomheder med at blive klar til persondataforordningen.

Hans erfaring er, at GDPR-projekter kan gennemføres på én til tre måneder, hvis virksomheden afsætter tilstrækkelige ressourcer, herunder konsulenter med de rigtige værktøjer og hjælpemidler til rådighed.

"Et GDPR-projekt er noget, som skal gennemføres, men hvis man gør det på den rigtige måde, er det ikke et omfattende projekt. Hvis man skal blive færdig til den 25. maj 2018, bør man dog starte så snart som muligt", understreger Jan Sandtrø, teknologiadvokat og partner i DLA Piper.

Hvis man gør det rigtigt, er et GDPR-projekt ikke omfattende. Jan Sandtrø, teknologiadvokat og partner i DLA Piper.


Den erfarne GDPR-advokat siger, at GDPR-projekterne koster omtrent det samme som mindre it-projekter.

"Benyttes der konsulenter, f.eks. advokater, som har erfaring med tilsvarende projekter, bør det ikke løbe op i mere end 100–150 timers bistand fra advokaterne for en mellemstor virksomhed, alt afhængigt af hvor meget arbejde virksomheden selv udfører", siger Sandtrø.

Positive effekter

Det kan virke unødvendigt at gå i gang med et GDPR-projekt, men DLA Piper-partneren understreger, at tilpasning til GDPR udover at være et uomgængeligt lovkrav også tilfører meget positivt til virksomhederne i form af bedre kontrol over behandlingen af personlige oplysninger og andre rutiner. De kan også reducere omkostningerne og giver mindre risiko for databrud og andre brud på reglerne om beskyttelse af persondata, hvilket reducerer risikoen for bøder og tab af omdømme.

GDPR-projekter er ikke kun udgifter – der er også gevinster at hente.


Sandtrø siger, at det normalt ikke løber op i væsentligt flere timer i større virksomheder, fordi antallet af problemstillinger normalt er det samme for mellemstore og store virksomheder.

"80–90 procent af problemstillingerne er de samme i alle selskaber og organisationer. Det tager bare længere tid at implementere GDPR i større virksomheder" fortsætter Sandtrø.

GDPR omfatter også dine medarbejderes data

En gennemprøvet og god metodik er afgørende

Der skal anvendes en metodik, som er gennemprøvet og god, og som passer til GDPR-projekter, hvis ikke projekterne skal skride i tid og omkostninger. Man bør undersøge, om de konsulenter, der anvendes, har en metodik, der passer til GDPR-projekter, og om de har erfaring med at anvende metodikken på tilsvarende projekter.

Sørg for at bruge konsulenter, der har arbejdet på mange tilsvarende projekter, og som tidligere har lavet skabeloner og standarddokumenter. Jan Sandtrø, DLA Piper


For at projekterne skal kunne gennemføres effektivt og med de rigtige omkostninger, skal der foreligge skabeloner, værktøjer og eksempler, før projektet starter. For det meste af GDPR-projektets vedkommende bør det ikke være nødvendigt at udarbejde dokumenter, tjeklister, skabeloner, regler, rutiner, procedurer osv. fra bunden.

Udnyt mulighederne i GDPR 

GDPR giver også mange muligheder. Ved at have øje for mulighederne ved starten af projekterne kan GDPR også medføre besparelser og reducerede omkostninger. I de projekter, som DLA Piper har assisteret med, er omkostningerne blevet reduceret som følge af sanering af it-løsninger, lagringsmåder er blevet optimeret, sikkerhedskopiering er blevet genvurderet, der er blevet ryddet op i arkiver, og forskellige både fysiske og elektroniske arkiver er blevet fjernet og slettet, arbejdsmetoder og procedurer er blevet forbedret, og dermed er der blevet frigjort kapacitet osv.

Vi har også set, at en gennemgang af kundelister og en øget kvalitet på data bl.a. i CRM-systemer, har medført en øget omsætning for virksomhederne. Jan Sandtrø, DLA Piper


Man har også set, at en gennemgang af kundelister og en øget kvalitet på data, bl.a. i CRM-systemer, har medført en øget omsætning for virksomhederne. Man er nødt til at kontakte både eksisterende og potentielle kunder, noget som kan give både nyt salg og mersalg.

Unødvendig rapport 

I forbindelse med compliance-projekter kan man skrive en rapport efter kortlægningsfasen for at vise, hvor der findes afvigelser. Dette er dog ofte unødvendigt tids- og ressourcekrævende. Jan Sandtrø anbefaler i stedet en mere smidig tilgangsvinkel ved enten løbende at afhjælpe afvigelser (nogle afvigelser gælder for alle virksomheder, så de kan afhjælpes, så snart projektet starter), eller ved at lave en afvigelsesliste/opgaveliste/statusliste, som der fortløbende arbejdes med parallelt med andre aktiviteter. Til sidst i projektet kan der afgives en rapport, som bekræfter, at alt er afhjulpet, men den bør ikke være omfattende og kan have karakter af en tjekliste.

11 forkerte antagelser om GDPR

Manglende dokumentation

De fleste selskaber mangler rutiner og dokumentation, hvilket er naturligt, fordi GDPR stiller andre krav til dokumentation end tidligere. Dette er dokumentation, som skal bekræfte, at rutiner og procedurer er implementeret. Her skal man huske, at det forudsættes, at rutiner og procedurer er implementeret, før dokumentationen kan komme på plads. En sådan dokumentation skal implementeres, og som nævnt tidligere, er det en fordel at bruge konsulenter, der har denne form for dokumentation, som kan tilpasses.

Ting tager tid

Implementering af procedurer og rutiner i organisationen tager tid, og det er ikke en opgave, som kan overlades til konsulenter. Husk, at dokumentationen kun er en bekræftelse af, at implementeringen er udført. For at have tilstrækkelig dokumentation på plads forudsættes det, at rutinerne og procedurerne for at behandle personoplysninger i overensstemmelse med forordningen (GDPR) er på plads i organisationen, og at de er en del af det daglige arbejde.

Husk at afsætte tilstrækkelige ressourcer

Det er afgørende, at virksomheden afsætter tilstrækkelige ressourcer til projektet. Især hvad angår kortlægning og implementering er det virksomheden selv, der skal stille størstedelen af ressourcer til rådighed og gøre det meste af arbejdet.

GDPR vil ændre hverdagen for dig og din it-leverandør


Konsulenterne er afgørende for at stille de rigtige værktøjer og den rigtige rådgivning til rådighed i disse faser, for at kortlægningen og implementeringen skal ske effektivt, men udførelsen skal virksomheden selv stå for.

Virksomhederne – ikke konsulenterne - skal stå for udførelsen.


Tro ikke, at software eller it-systemer kan gøre dig klar til GDPR. It-systemer kan gøre det enklere at opfylde enkelte krav i GDPR, men vil aldrig være tilstrækkelige til, at man er i overensstemmelse med GDPR. Det er behandlingen, som foregår i virksomheden (ikke systemerne), der er afgørende.

Databehandlere er ikke forberedt

Mange databehandlere er ikke forberedt på GDPR, og de har hverken forberedt dokumentation eller databehandleraftaler. Dette gælder også for større globale selskaber og kan skabe problemer for dataansvarlige, som ønsker at være klar til GDPR. I disse tilfælde er det vigtigt at virksomheden selv har forberedt databehandleraftaler, som de kan indgå med databehandlerne.

Cloudløsninger og GDPR – hvad bør du gøre?

Hvad er en databehandler og en databehandleraftale?

En databehandleraftale er en aftale mellem en dataansvarlig og en databehandler. En dataansvarlig er den, som bestemmer, at personoplysninger skal indsamles og behandles, og hvordan disse skal behandles. Fxvil et selskab, som har ansatte, være dataansvarligt for personoplysninger for de ansatte, oplysninger som eksempelvis er knyttet til lønudbetaling. Hvis selskabet bruger et andet selskab til lønudbetalinger, som Bluegarden, Visma eller andre, vil disse være databehandlere, fordi de behandler personoplysninger på vegne af den dataansvarlige.

Sæt risikoprofilen – og stop når målet er nået

Man behøver ikke at blive mere end GDPR-compliant. Derfor er det vigtigt, at projektet drejer sig om målet: At komme i overensstemmelse med GDPR. Så projektet skal nøje have fastlagt, hvornår det er i mål og skal stoppes. Hvor omfattende projektet skal være, afhænger af, hvilken risikoprofil virksomheden har valgt for GDPR. Der kan være grunde til at fortsætte projektet for at opnå andre fordele, men det bør være selvstændige projekter adskilt fra GDPR.

Guide og handleplan til overholdelse af GDPR

Gratis kilder til gode råd og information om GDPR 

Artiklen blev først udgivet på Sandtro.no.

Hold dig opdateret...

Få værdiskabende artikler, værktøjer og inspiration til, hvordan du forankrer den digitale transformation i din virksomhed – direkte i din indbakke.

Annonce
Annonce
Annonce