Mange har gjort et stort stykke arbejde, for at få styr på virksomhedens persondata. Nogen er kommet rigtig langt, andre er på vej. Fælles er, at arbejdet aldrig slutter – der skal ske en løbende opfølgning.

Du kan med fordel lave et GDPR-årshjul, så du sikrer denne opfølgning. På den måde bliver arbejdet overskueligt.

De områder, du som minimum skal inddrage i jeres opfølgning, er følgende:

• GDPR-dokumentationen – nye forretningsområder og andre ændringer i organisationen, små som store, kan betyde, at virksomhedens GDPR-dokumentation skal opdateres for at være i overensstemmelse med kravene. Hvis I ikke allerede har ”mappet” jeres persondata, kan I med fordel starter der.
   
• Den registreredes rettigheder – disse er helt centrale og du skal sikre, at I har styr på disse rettigheder og at de registrerede uden problemer kan udøve deres rettigheder, fx til indsigelse, indsigt og sletning. Det kræver, at I ved hvem der skal gøre hvad, når der kommer en henvendelse.
   
• Awareness og egen kontrol – I skal sikre, at medarbejderne har fokus på behandlingen af persondata, og de skal løbende opdateres på interne regler og retningslinjer. Som organisation skal I sikre, at I får kontrolleret at reglerne overholdes og at I kan dokumentere denne egen kontrol. Medarbejderne skal også have et vist kendskab til GDPR – det kan du fx give dem ved at lade dem tage testen på Privacykompasset, som du finder her. Hjemmesiden indeholder også et afsnit med ”Viden og regler”.
   
• Styr på sikkerhedsniveauet – GDPR stiller krav om ”passende tekniske og organisatoriske sikkerhedsforanstaltninger”. Det kræver løbende fokus på risikoanalyser, som er grundlaget for at kunne fastslå, hvad der er ”passende”. Det er også vigtigt at vurdere, om I er omfattet af kravene om konsekvensanalyse og I skal være opmærksomme på kravet om privacy by design.
   
• Dokumentér alle sikkerhedsbrud – I skal kunne dokumentere alle sikkerhedsbrud, også dem, der ikke skal anmeldes til Datatilsynet. Det betyder helt indledningsvist, at alle medarbejdere skal vide, hvad et sikkerhedsbrud kan være og hvem i organisationen, de skal tage fat i.
   
• Kontrol af databehandlere – det er ikke nok at indgå de nødvendige databehandleraftaler. Der skal følges op på aftalerne, I skal kontrollere, om databehandlerne overholder aftalerne og om de har den nødvendige fokus på behandlingssikkerheden. Måske har I aftalt med databehandlerne, hvordan den løbende kontrol skal foregå – hvis ikke, skal I selv fastlægge og beslutte dette. Og få det udført. Mange dataansvarlige synes dennes opgave er umulig, fordi det tit er databehandleren, der har udarbejdet databehandleraftalen og er eksperten på området. Men der er ingen vej udenom, der skal følges op med faste intervaller.
   
• Følg med i ny praksis og vejledninger – da der er tale om en forholdsvis ny lovgivning, mangler vi stadig at få fastlagt retstilstanden. Derfor er det nødvendigt at følge med i udviklingen af praksis fra specielt Datatilsynet men også fra de øvrige europæiske databeskyttelsesmyndigheder.