28
Apr
Sådan håndterer du ”det nye, administrative monster”

Af sekretariatschef/direktionssekretær Marianne Neumann, Patriotisk Selskab

Uanset virksomhedstype går mange af de samme ting igen, når der skal rettes ind efter EU’s persondataforordning, der beskriver, hvordan virksomheder fremover må håndtere persondata. Derfor vil jeg – med håbet om at det kan inspirere dig – herunder fortælle, hvordan vi gør hos Patriotisk Selskab. Deltag også i vores konference om persondataforordningen enten på Fyn, Sjælland eller i Jylland og gå direkte hjem og begynd at gøre din virksomhed klar.

Da Patriotisk Selskabs direktion i starten af 2016 bad mig stå i spidsen for at klargøre Patriotisk Selskab til EU’s persondataforordning, der træder i kraft den 25. maj 2018, tænkte jeg først ”gisp!” Men da jeg havde tænkt lidt mere over opgaven – eller projektet – stod det klart, at tager man ”ja-hatten” og ”de positive briller” på, så er det måske ikke så slemt endda.

I midten af 1970’erne ”opfandt” Claus Møller ”TimeManager”; et værktøj til personlig og effektiv planlægning. Mottoet for TimeManager var ”Hvordan spiser man en elefant?”, og svaret til dette var: ”Man tager én bid ad gangen”. Det samme gælder, når man skal gøre sin virksomhed i stand til at efterleve persondataforordningens regler: Tag ét skridt eller én bid ad gangen – så skal det nok lykkes.

De fem step på vejen mod målet
Første step er at få afdækket, på hvem virksomheden har persondata liggende, hvorfor og hvorhenne det ligger. Andet step er at afklare, om dataene nu også er nødvendige eller bare rare at have. Tredje step er at afdække, om det er de rigtige medarbejdere, der ligger inde med oplysningerne om den registrerede ved, hvem der har hans/hendes oplysninger, hvorfor og hvad de bruges til. Fjerde step er at sikre, at virksomheden inden for rimelig tid overfor den registrerede kan redegøre for, hvilke personoplysninger, virksomheden har på ham/hende. Endelig er femte step at sørge for, at virksomheden på forlangende og inden for rimelig tid kan slette alle oplysninger på en person og dokumentere det.

Nedenstående diagram beskriver arbejdsgangen rigtig fint:

 

Sådan gør vi
Selvom der er forskel på en landbrugsvirksomhed og en rådgivningsvirksomhed som Patriotisk Selskab, er der i relation til persondataforordningen rigtig mange ligheder. Det, vi hos Patriotisk Selskab gør for at blive klar, til forordningen træder i kraft, kan forhåbentlig være til inspiration i din virksomhed.

Da jeg skulle sætte ”Projekt Persondataforordning” i gang hos Patriotisk Selskab, tog jeg udgangspunkt i Patriotisk Selskabs overordnede organisationsdiagram. Herudfra kortlagde jeg, hvilke funktioner og opgaver de enkelte afdelinger udfører. Med dette på plads kunne jeg analysere hver enkelt opgave, herunder specifikt hvordan der opereres med persondata i forbindelse med opgaven, af hvem og hvorfor.

Mit ellers pæne kontor efter en analyse af datastrømmene i økonomiafdelingen.

Min næste opgave – som jeg arbejder på i øjeblikket – er at finde ud af, om Patriotisk Selskab virkelig har brug for de persondata, vi har fundet frem til – eller om de blot er rare at have? Hvis persondataene er nødvendige for vores rådgivning af den enkelte kunde, ja så skal vi dels have indhentet samtykker til at opbevare dem, dels over for kunden have redegjort for, hvorfor vi opbevarer dem, hvordan vi opbevarer dem og hvem der behandler dem.

Formålet med persondataforordningen er at beskytte os alle. Derfor er det også et krav, at man har en klar og præcis procedure for, hvad der skal gøres, og hvem der gør hvad i tilfælde af læk af persondata. Læk kan ske ved et hackerangreb, men det kan fx også være utilsigtet overførsel af persondata fra en kunde til en anden. Læk af persondata skal indberettes til datatilsynet.

Endelig vil det, når forordningen træder i kraft, blive nødvendigt for virksomheden med jævne mellemrum at kontrollere, om den stadig lever op til reglerne. Kontrollen kan udføres af interne eller eksterne ”kontrollanter”.

På Patriotisk Selskabs tre maj-møder om persondataforordningen på hhv. Fyn, Sjælland og i Jylland, som gør dig klar til at gå direkte hjem og tilpasse din virksomhed de nye regler, vil jeg fortælle mere om, hvad Patriotisk Selskab har gjort og påtænker at gøre for at blive klar til forordningen, inden den træder i kraft. Vi vil både give konkrete, håndgribelige eksempler, og du vil få en række værktøjer med hjem, som du kan bruge i forbindelse med implementeringen.

Hvis du har spørgsmål til ovenstående – så tøv ikke med at kontakte mig eller en af mine kolleger i Patriotisk Selskabs personadatateam, som udover mig består af teamleder Kristina Rohani og seniorkonsulent Christian Damsgaard.

Nyttige links
”’Administrativt monster’ beskytter os alle” af seniorkonsulent, registreret revisor Christian Damsgaard.

Sådan bærer Hverringe Gods sig ad med at tilpasse sig de nye regler om håndtering af persondata.

Kort artikel, der giver et indblik i de primære regelændringer.

Datatilsynets 12 spørgsmål, du som dataansvarlig bør forholde dig til allerede nu.