Det kunne synes så nemt blot at ansætte en DPO (Data Protection Officer)? Én, der kan puste alle i nakken med elektronisk come-il-faut eller blot for at bevise, at virksomheden tager sin compliance alvorligt. Men så nemt er det langt fra.
Compliance ligger i hver enkelt af alle de processer, hvor der indgår persondata. Foruden den fortegnelse (læs mere under Elviums 3. Skarpe om Persondataforordningen), der tjener til at beskrive “just-in-case”-processerne, er det vigtigt, at alle medarbejdere, der håndterer persondata ved, hvad de gør, hvordan de gør og hvorfor de gør det. Det indebærer regulær procestræning med medarbejderne på en måde, så det ikke bare opleves som en tung byrde, men som en fornuftig, kundevenlig indsats, som alle forstår og går op i. Det kunne være aftaler omkring hvem, der modtager koder/passwords og hvordan de afvikles/ ændres, når folk ansættes/afgår.
I skal oprette arbejdsgange, der koncentrerer sig om at beskytte elektronisk data – ikke som nu, hvor mange arbejdsgange i bund og grund er skabt ud fra en tid, hvor data befandt sig i fysiske arkiver.
Det kan med andre ord blive en betydelig forandring af vaner og rutiner i alle afkroge af virksomheden, men kan samtidig være en belejlig anledning til at toptune virksomheden til moderne elektronisk forstandighed.
Al proces bør skrives ind i personalehåndbogen eller it-sikkerhedspolitikken, så det kan fremlægges til inspektion ved enhver lejlighed.
Har du styr på… Hvem har ANSVARET for jeres persondata? Hvilke databehandlerAFTALER har I med jeres dataleverandører? Kan I DOKUMENTERE, hvordan I er compliant? Skal vi ansætte en Data Protection Officer? Hvordan sikrer I jer en COMPLIANT REKRUTTERING? Er fortrykte flueben et SAMTYKKE? Læs alle Elviums 7 Skarpe om Persondataforordningen med et let tryk på dette link:
