In the Press and On our Mind

GDPR: 379 dage til at finde din DPO, eller?

Den nye digitale tidsalder er varslet, besluttet og materialiserer sig d.25 maj 2018. Aldrig har der været mere data, aldrig har vi vidst mere og aldrig har det været mindre privat. Persondata er den naturlige konsekvens af menneskers interaktionen med IT, og rummer en dyb kilde af værdi, men skal vi undgå at ende i 1984, skal det første skridt tages i 2018 med GDPR.

Det der for nogle virksomheder kan minde om et dommedags ur, der stille tikker ned til dagen, hvor GDPR træder i kraft er begyndt. Inden slaget nul, hvor virksomheders nuværende dataprocesser skal være transformeret, skal prinsen findes og dagen reddes, eller måske er situationen ikke helt så dramatisk. Dog er der stadig tale om forbrydelse og straf, og dommen lyder på op til 4% af den årlige omsætning, hvis GDPR ikke overholdes og er tænkt ind i forretningsprocessen.

 Et af spørgsmålene er, hvorvidt en DPO (Data Protection Officer) er påkrævet eller nødvendig.

Der er 3 betingelser, som ALLE skal være opfyldt før, at en privat virksomhed har pligt til at udpege en DPO, disse illustreres nedenfor:

GDPR CSA CPH

 

Som det fremgår af modellen, er det langt fra alle virksomheder, der berøres af reglerne om en DPO. Så inden man går i gang med at oprette en ny stilling, anbefales det, at DPO stillingens eksistensberettigelse i virksomheden afdækkes som det første.

Festens prins

 Virksomheder, der kan sætte krys ved alle overnævnte betingelser, har pligt til at udpege en DPO. Om fundamentet skal funderes på IT, jura eller andet, skal besluttes i forhold til den enkelte virksomhedens profil i dag, men også i forhold til den fremtidige profil. Tværfaglige kompetencer er dog essentielle, eftersom DPO’en skal være i stand til at navigere rundt i det digitale hav, også når stjernerne ikke står klart på nattehimlen, og når IT udviklingens retning er svær at bedømme. Det er et krav, at personen der vælges til denne stilling, skal være i stand til at udøve sit hverv på uafhængigvis, og må derfor ikke være underlagt instrukser vedrørende udførelsen af sit arbejde som DPO. DPO’en indtager således en særlig stilling, og må for eksempel ikke afskediges for at udføre sine opgaver som DPO.

En pistol og et enkelt skud til at ramme et mål i bevægelse kræver for alle virksomheder stort fokus, og er en vanskelig opgave. Uanset om en virksomhed rammer plet eller ej, er det vigtigt at tilføje, at DPO’ens funktionen ikke bør blive af sådan karakter, at selv ikke Atlas vil bytte position.

Dresscoden til den digitale fest

For at sikre at virksomheder er GDPR compliant, og at DPO’en er i stand til at udføre sine opgaver, er en holistisk forståelse for GDPR’s implikationer afgørende, hvilket skal kobles med de IT kompetencer, der løber igennem alle lag, og som bør udspringe fra et kompetent team omkring DPO’en.

Søgningen efter kvalificerede medarbejdere til at opfylde GDPR er allerede begyndt, men hvordan sikres sammensætningen af det rigtige team? Hovedreglen er, at virksomheder skal afdække deres IT processer, holde dem op mod GDPR og identificere eventuelle videns huller. Jagten på de skarpeste informationsarkitekter, proceskonsulenter, databasespecialister, sikkerhedseksperter, master data analytikere, jurister m.m. er allerede skudt i gang, og konkurrencen for at tiltrække dem bliver kun hårdere dag for dag. Kompetencer som alle virksomheder der behandler persondata BØR tilegne sig, eftersom de er underlagt samme regler, også selvom de ikke har pligt til at udpege en DPO.

Tiden er nu til at omstille sig til at arbejde med GDPR, hvilket indeholder muligheder og ikke kun begrænsninger. CSR er for længst blevet en integreret del af moderne virksomheder, og efterfølgende har social media bølgen forstærket vigtigheden af at have en ansvarsbevidst profil. GDPR kan meget vel blive den næste bølge i form af CDR (Corporate data responsibility) og være med til at synliggøre fordelene ved at udpege en DPO. Måske er CDR, hvad der var tiltænkt med GDPR fra begyndelsen, og måske hvad der skal sikre den digitale tidsalder.

Den sidste dans

Inden sangens sidste note er spillet, skal alle virksomheder ud på dansegulvet, og beslutte sig for, om de skal finde prinsen, eller om de kan og har lyst til at danse alene – uanset om det bliver alene eller sammen, skal alle danse til rytmen fra den nye sang, som indledes med GDPR.