Så effektiviserar du ditt arbete med dataskydd och GDPR
Med en genomtänkt strategi och ett starkt fokus på organisation, rätt utbildning och samarbete kan organisationen höja sig till nästa nivå i sitt dataskyddsarbete - utan att alla måste kunna allt om GDPR.
Måste alla vara GDPR-experter?
Dataskydd är, speciellt i en tid där dataintrång och personuppgiftsincidenter är vanliga, och där AI är på frammarsch, en kritisk fråga för alla organisationer. EU:s dataskyddsförordning GDPR, kräver ett strukturerat arbete för att säkerställa efterlevnad. Detta kräver i sin tur en organisation som både leder och stöttar upp.
Alla behöver inte kunna allt
Det är en vanlig missuppfattning att alla medarbetare måste ha en djupgående kunskap om dataskydd och GDPR. I verkligheten är det istället viktigt att identifiera och dela upp ansvaret och utbildningen utifrån olika roller.
Utöver själva dataskyddsorganisationen och dataskyddsombudet (DSO) är behovet av detaljkunskap beroende av var i organisationen och med vad en medarbetare arbetar. Olika funktioner behandlar personuppgifter i varierande omfattning och för olika syften. Detta bör reflekteras i de krav som ställs occh den utbildning som ges.
Anmäl dig till vårt webinar “Måste alla vara GDPR-experter” och få värdefulla insikter och konkreta råd av våra experter.
Tillvägagångssätt
Ett första steg är att kartlägga vilka förutsättningar och behov som finns i verksamheten. Därefter behövs en analys för att ta fram en plan för hur arbetet med dataskydd organiseras på bästa sätt. För att hitta den mest effektiva strategin för ett framgångsrikt arbete med dataskydd kan man ställa bland annat följande frågor;
- När och hur behandlas personuppgifter i verksamheten?
- Vilka strukturer och roller finns redan på plats?
- Vilka funktioner ska ligga i det operativa arbetet?
- Vad finns anledning att lägga på en central funktion?
För organisationer som upplever utmaningar med att nå ut i organisationen, kan ett sätt att ta dataskyddsarbetet till nästa nivå vara att utse så kallade ”privacy champions”.
Privacy champions är personer som genom sitt arbete främjar dataskyddsarbetet genom att förstå regelverket och finnas nära verksamheten – och utifrån detta ständigt påminna övriga anställda om vikten av datatskydd. Ofta utses privacy champions inom olika affärsområden eller marknader och blir en del av det nätverk som leds av den centrala dataskyddsorganisationen.
Utbildning – att förstå när det är dags att fråga
För att höja organisationen till nästa nivå i GDPR-arbetet är det viktigt att bedriva kontinuerlig utbildning, men också att se till att rätt utbildning ges. Alla medarbetare bör genomgå grundläggande kurser om dataskydd och GDPR, medan särskild och skräddarsydd utbildning bör erbjudas till de som regeulbundet hanterar personuppgifter, såsom HR eller kundtjänst, eller har en position som kan spela en viktig roll för dataskyddsarbetet, såsom inom exempelvis IT eller inköp.
Att haka på en redan etablerad organisationsstruktur har många fördelar och kan leda till ökad transparens och att information som annars skulle gått en central datskyddsorganisation förbi, istället faktiskt kommer fram. Att använda nyckelfunktioner såsom IT och inköp som ”gatekeepers” är ett sätt att arbeta resurseffektivt.
Det är också viktigt att internt kommunicera att det övergripande ansvaret för dataskydd och efterlevnad ligger hos verksamheten och inte hos dataskyddsorganisationen. Varje medarbetare bör därför ha baskunskaper om hur deras arbetsuppgifter påverkas av dataskyddslagstiftningen. Alla måste inte kunna allt – men alla ska veta tillräckligt för att kunna identifiera och flagga för potentiella risker. Att förstå när det är dags att fråga.
Rapportering och feedback
För att få insikt i hur dataskyddsprocesserna fungerar i praktiken behöver organisationen etablera tydliga rapporteringsvägar. Det ska vara tydligt vem man vänder sig till med frågor eller för att rapportera en personuppgiftsincident. Ett systemstöd för dataskydd kan vara ett sätt att standardisera kommunikation och processer.
Rekommendation för effektiviserat dataskydd
- Sätt upp en organisation som når ut i hela verksamheten och definiera tydligt roller och ansvar för dataskyddsarbetet
- Utbilda medarbetare i enlighet med dessa roller och ansvar
- Etablera rapporteringsvägar för att få insikt i dataskyddsrisker
- Skapa en kultur av medvetenhet och ansvar kring dataskydd
- Samverka och integrera dataskyddsfrågor i alla verksamhetsprocesser
För mer information om effektivt dataskydd och för din chans att få svar på frågor vänligen anmäl dig till vårt webinar den 29 april här: “Måste alla vara GDPR-experter“.
We are your data privacy partner, providing hands-on solutions to ensure sustainable privacy at the core of your business. For more information about our services please visit our designated Privacy site.
