Compliance­proces

HVORDAN BLIVER DIN VIRKSOMHED COMPLIANT?

Mange virksomheder behandler, opbevarer og videregiver store mængder af persondata uden at have taget stilling til interne eller eksterne processer. Begrebet compliance opfattes tit som en uhåndgribelig størrelse, og det kan være svært at gennemskue, om en virksomhed er compliant. Og hvis virksomheden ikke er compliant, hvad er det så egentlig, virksomheden bør starte med?

 

Der er ingen "one size fits all"-løsning for persondatacompliance, men de fleste virksomheder kan komme godt i gang med de seks trin, vi har skitseret i nedenstående model.

 

 

1. AFGRÆNSNING OG FORBEREDELSE: HVAD GÆLDER FOR VIRKSOMHEDEN?

Det første og vigtigste trin er at informere ledelsen om, dels hvor vigtigt det er at overholde databeskyttelsesforordningen, og dels hvilke konsekvenser de nye regler kan få for virksomheden.

 

I bør derfor afholde et indledende møde, hvor I sammensætter et krydsfunktionelt team, der består af repræsentanter fra blandt andet virksomhedens juridiske afdeling, IT, virksomhedens fremtidige Data Protection Officer (DPO) og evt. andre medarbejdere, der kan hjælpe med at afdække virksomhedens datastrømme. 
I forberedelsesfasen bør I også danne jer et overblik over de love, regler og standarder, som skal efterleves for at blive compliant med den nye databeskyttelsesforordning.

 

2. Kortlægning af dataSTRØMME: HVILKE OPLYSNINGER HAR VI OG HVOR?

Det næste trin går ud på at få et overblik over virksomhedens datastrømme for bl.a. at forstå:

 

  • Hvilke kategorier af persondata indsamles og behandles?
  • Hvilke registrerede personer vedrører dataene?
  • Hvilke systemer bruges til behandling af data?

Start med at stille jer selv de vigtige spørgsmål: 

 

  • Hvor kommer personoplysningerne fra?
  • Hvor opbevares oplysningerne?

Resultatet af en datastrømsanalyse bør være en oversigt over virksomhedens datastrømme, herunder de systemer virksomheden anvender, og indholdet af systemerne, både hvad angår de registrerede personer og de typer af oplysninger, der behandles.

 

3. COMPLIANCEANALYSE: OVERHOLDER VI DE GÆLDENDE REGLER – OG HVAD MED DE NYE?

Det første spørgsmål, der skal stilles under complianceanalysen, er, om virksomhedens behandling af data er lovlig i forhold til nugældende regler. Dernæst bør I se på, hvad der skal til for at overholde de nye regler i databeskyttelsesforordningen.

Der er flere spørgsmål, der skal stilles under complianceanalysen. Det er bl.a., om:

 

  • I overholder de grundlæggende behandlingsregler og dokumentationskrav
  • I opfylder de nye dokumentationskrav
  • I har fået samtykke til behandlingen af persondata
  • I har sikkerhedsforanstaltninger til beskyttelse af persondata
  • Hvordan I håndterer de registrerede personers rettigheder
  • I har overblik over tredjeparter, der behandler data på jeres vegne
  • I overfører data til udlandet

Med afsæt i den gennemarbejdede kortlægning af jeres datastrømme og en vurdering af, om jeres nuværende behandling af persondata er lovlig, kan I lave en egentlig complianceanalyse, hvor det kortlægges, hvilke foranstaltninger I skal foretage for at overholde persondataloven i dag og den kommende databeskyttelsesforordning pr. 25. maj 2018. Resultatet bør være en compliancerapport, som også til dels kan fungere som den fremtidige, nødvendige dokumentation for, at I behandler persondata ansvarligt.

 

4. HANDLINGSPLAN: HVILKE TILTAG ER NØDVENDIGE FOR AT OVERHOLDE REGLERNE?

I har nu kortlagt alle relevante oplysninger om jeres datastrømme og interne politikker samt på det grundlag foretaget en udredning af, hvilke tiltag der er nødvendige for at overholde de gældende regler og være klar til den kommende databeskyttelsesforordning. Nu mangler I blot at omsætte compliancerapporten til handling. Det kan I gøre ved at udarbejde en konkret handlingsplan som også inddrager jeres forretningsmæssige prioriteter, og som eventuelt munder ud i virksomhedens nye compliancepolitik. Handlingsplanen skal være realistisk og tage stilling til, hvilke områder, I vil prioritere.

 

5. IMPLEMENTERING: UDARBEJD POLITIKKER OG UDDAN MEDARBEJDERE

Implementeringsfasen er udførelsen af handlingsplanen. Implementeringen vil typisk omfatte flere typer aktiviteter: ændringer af processer, tilpasning af systemer, udarbejdelse af dokumentation og politikker, samt uddannelse og kulturbearbejdning. Det er afgørende, at I i denne fase gør opmærksom på persondata i virksomheden, og formidler det på en måde, så alle kan forholde sig til det, fremfor at det bliver en byrde eller noget kedeligt, der bare skal overstås.

 

6. VEDLIGEHOLDELSE: OPFØLGNING PÅ HANDLINGSPLANEN

Når I har gennemgået en complianceundersøgelse, og alle nødvendige foranstaltninger er sat i værk, er det afgørende, at I vedligeholder regelefterlevelsen ved hjælp af periodisk kontrol. Hvis I ikke var compliant tidligere, er mange interne mekanismer blevet sat i gang, og derfor er det især i starten vigtigt at være opmærksom på faldgruber. Lettilgængelige og forståelige guidelines og procedurer samt evt. opfølgende træning vil hjælpe medarbejderne til at vedligeholde de nye krav. I bør også gennemgå procedurerne efter ca. 1 år for at sikre, at de fungerer som tiltænkt og rent faktisk bliver anvendt.

 

I vores Insight "Den nye databeskyttelsesforordning – start jeres compliance-tjek med disse 6 trin" finder du en uddybende beskrivelser af hver af de seks trin.

 

KONTAKTPERSONER MED SPECIALE I Persondata og whistleblower­ordninger