Dette indlæg er alene udtryk for skribentens egen holdning.

En god GDPR-ansvarlig – del 2: Hvordan man hurtigt omsætter lektielæsningen til erfaringer

31. marts kl. 16:00
Dennis Benneballe Arnold-Grade
Illustration: Frederik Tubæk Rasmussen.
Dennis Benneballe Arnold-Gaarde giver konkrete eksempler på, hvorfor det er vigtigt at kende til de nyeste udviklinger i GDPR.
Artiklen er ældre end 30 dage

Som jeg belyste i sidste uge er konstant opfølgning, oplysning, og ajourføring med loven i compliance-arbejdet utrolig fordelagtigt. Dette gør, at kommunikationen med dataansvarlige eller de registrerede ikke bliver præget af uvidenhed, misforståelser, panik eller at være i fare for at virke uprofessionel eller ligefrem ligeglad med databeskyttelse.

Personligt erfarede jeg, at dommen, som blev afsagt en fredag og udkom enkelte steder som nyhed om fredagen, blev genstand for kundeforespørgsler mandagen efter dommen. Her forventede dataansvarlige og andre interessenter, at virksomheden havde en afklaret stilling ift. denne nyhed samt en plan for, hvad der skulle ske herfra.

Det kan være svært at levere, hvis man ikke har hørt om denne dom inden da. Ja, jeg har da personligt også brugt dagen, efter dommen blev afsagt og hele den weekend på at sætte mig ind i dommen, dens baggrund og så videre. Uden dette ved jeg ikke, hvornår og hvad vi skulle have svaret. Som virksomhed har vi dog har været forberedt på tidspunktet, hvor kundespørgsmålene trillede ind, og vi kunne derfor opretholde transparens og professionalisme hele vejen igennem. Dermed havde vi også et forspring, som kunne mærkes både hos konkurrenter, men også i hele det såvel danske som europæiske it-landskabet.

At komme i mål internt er en lang og sej kamp

Udfordringen med at tilpasse virksomhedens compliance er dog en helt anden størrelse. At skulle kommunikere og overbevise alle parter om at rette ind på et område, der hidtil blev misforstået, er en stor opgave i sig selv – men at kræve samtidig, at store forandringer inden for virksomhedens IT-opsætning nu skal være nødvendigt for at undgå bøder m.fl. er så dårlig en nyhed for mange virksomhedsejere, at de - forståeligt nok - trækker håndbremsen og ønsker yderligere at undersøge problemet og se på, hvordan sagen udvikler sig. At komme til enighed internt og så til at have gennemført ændringer, der giver compliance som resultat, er en vej, der er lang og sej.

Artiklen fortsætter efter annoncen

Og det er ikke kun i forbindelse med hosting og Schrems-II, at der er der store udfordringer med at tilpasse sin compliance ift. tredjelandsoverførsler. Også ift. andre områder i en virksomheds klassiske it-opsætning gælder det, at omstilling kan være tricky. Et konkret eksempel kunne være Google Analytics, som pt bliver debatteret hedt.

Et yndlingsværktøj, der er blevet forbudt

Kort forklaret er Google Analytics efter Schrems-II ramt af problemerne omkring tredjelandsoverførsler, men også ramt af kritik ift. datadelingsmodellen, samt til hvilke formål data anvendes. Det belgiske, liechtensteinske og østrigske er enige om, at Google Analytics på mange områder er problematisk og ikke compliant med GDPR. Google Analytics er dog et af de største værktøj inden for tracking og hjemmeside-analytics, og dermed står mange virksomheder tilbage med det problem, at deres yndlingsværktøj nu er ulovligt - et værktøj, der oven i købet er meget vigtigt for markedsføringsstrategier og e-commerce-optimization.

Enhver GDPR-ansvarlig har derfor nu fået til opgave på den ene side at finde argumenter for, at Google Analytics faktisk er et compliant værktøj at bruge, men samtidig at være klar til at have en alternativ til Google Analytics, i det tilfælde at det entydigt viser sig, at værktøjet ikke må benyttes. Dette kan under alle omstændigheder kun ske, hvis den GDPR-ansvarlige har sat sig ind i problemstillingen i god tid, har kæmpet sig igennem domme, lovgivning, vejledninger osv. og har accepteret, at der er en realistisk risiko for at man må undvære værktøjet.

Har man det, finder man hurtigt frem til, at der findes nye teknologier, værktøj og måder, hvorpå man kan beholde sine analytics-data og tracking, uden samtidig at skulle miste compliance med GDPR. At overbevise dem, der arbejder med værktøjet, samt ledelse og andre interessenter, at der skal iværksættes et skifte, er det, som GDPR-ansvarlige så må arbejde på efterfølgende.

Ansvaret er individuelt

GDPR-ansvarlige har mange slags opgaver. Men at holde sig opdateret med udviklingerne på lovområdet, følge med i domme, sætte sig ind i stoffet og arbejde sig igennem de mange forskellige kilder og forskelligt materiale, er måske den fornemmeste opgave, som avler de største fordele, både på lang og kort sigt. Det bidrager både til den generelle forståelse af GDPR og at at være hurtigt klar med udmeldinger, holdninger og planer, når der sker væsentlige ændringer på GDPR-området. Og det er noget, som et indledende kursus over en uge, eller andre kortere GDPR-uddannelser ikke har tid til at gå i dybden med.

Selvstudie er altså den eneste vej til at blive en god GDPR-ansvarlig.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger