Följer alla dina anställda processer som uppfyller kraven?
Det verkar så enkelt att bara anställa en DPO (Data Protection Officer)? Någon som kan slå alla med häpnad med sitt elektroniska "come-il-faut" eller bara för att bevisa att företaget tar sin efterlevnad på allvar. Men det är långt ifrån så enkelt.
Efterlevnaden ligger i var och en av de processer som involverar personuppgifter. Förutom den inventering (läs mer under Elviums 3:e GDPR-tips) som ska beskriva just-in-case-processerna är det viktigt att alla medarbetare som hanterar personuppgifter vet vad de gör, hur de gör det och varför de gör det. Det handlar om att regelbundet utbilda medarbetarna i processen på ett sätt som gör att det känns som en vettig och kundvänlig insats som alla förstår och bryr sig om, snarare än en tung börda. Det kan handla om överenskommelser om vem som får koder/lösenord och hur de annulleras/ändras när personer börjar/slutar.
Du måste skapa arbetsflöden som koncentrerar sig på att skydda elektroniska data - inte som nu, där många arbetsflöden i allt väsentligt är skapade från en tid då data fanns i fysiska arkiv.
Med andra ord kan det innebära en betydande förändring av vanor och rutiner i varje hörn av organisationen, men samtidigt kan det vara ett lägligt tillfälle att topptrimma företaget för modern elektronisk sundhet.
Alla processer bör skrivas in i personalhandboken eller IT-säkerhetspolicyn så att den kan visas upp för inspektion vid varje tillfälle.
