Sådan sikrer Novicell sig, at de er GDPR-compliant med 400 medarbejdere

GDPR, Kundecase

Novicell fokuserer meget på GDPR, da det er et krav fra kunder såvel som et lovligt krav. Novicell er en IT-virksomhed, der laver konsulentarbejde for en masse kunder. Derfor håndterer de en masse persondata. Det er afgørende for Novicell at have gode processer for, hvordan de håndterer denne data og at have medarbejdere der ved, hvad de skal være opmærksom på I deres dagligdag. Det handler alt sammen om at tage komplekse juridiske GDPR-tekster og gøre dem letforståelige og lavpraktiske for alle medarbejdere.

Vi har snakket med Anne, som er ansvarlig for GDPR-håndteringen. Hun skal sørge for, at Novicell har gode processer, og at medarbejdere ved, hvordan de skal følge dem. 

Læs hele casen eller hop frem til, hvordan Anne har brugt vores awareness-træning i GDPR-arbejdet


Hvem er Novicell?

    • IT-virksomhed - Digitale konsulenter
    • Medarbejdere DK: 320
    • Medarbejdere internationalt: 400
    • Grundlagt: 1997
    • Opkøbt: 2005
    • Kontorer i 6 lande

Hvem er Anne?

  • Anne Mølgaard Brøndum

  • Head of Legal ved Novicell

  • Ansvarlig for GDPR-compliance

  • Cand.Merc (Jur.) – Hun har skrevet hendes speciale om ansættelsesret og persondata 

    Anne-Novicell

Indholdsfortegnelse

 

Hvem er Novicell og Anne? 

Novicell er en dansk it-virksomhed, der leverer digital rådgivning til andre virksomheder. Det betyder, at Novicell hjælper virksomheder med et bredt spektrum af ting. De hjælper med webudvikling, E-commerce, digitale strategier, digital marketing, UX og meget mere. Man kan kalde dem eksperter i digital forretningsudvikling. De har gjort det godt i et par årtier, og de har nu mere end 400 medarbejdere på tværs af 6 lande med hovedkvarter i Danmark. 

En af de 400 medarbejdere er Anne Mølgaard Brøndum. Anne er Head of Legal ved Novicell, hvilket betyder at hun har ansvaret for, at Novicell følger GDPR-reglerne. Anne skrev hendes speciale om ansættelsesret og persondata, hvilket på mange måder er en god vej ind i GDPRs mysterier.  

Vi har snakket med Anne om hendes arbejde hos Novicell, og hvordan hun sørger for de er GDPR-compliant.

Hvordan Novicell har skabt en strategi for GDPR-arbejdet

GDPR er kommet for at blive. Vi kender alle reglerne, men mange er stadig lidt usikre på, hvordan man følger dem ordentligt. Det skyldes i høj grad, at der stadig ikke er mange eksempler på, hvad man må og ikke må. Vi mangler præcedens. GDPR-reglerne er på mange måder de samme, som de var før GDPR, men GDPR har sørget for at mange virksomheder nu er begyndt at prioritere dem.

Anne har til opgave, at sørge for at Novicell er GDPR-compliant. Det er svært at have en simpel konkret strategi for ens GDPR-arbejde, og i stedet gør Anne to forskellige ting for at rammesætte arbejdet i Novicell.

For det første, så bliver Novicell ISAE 3000 revideret hvert år, hvilket kræver, at de lever op til visse regler og standarder. For det andet, så holder Anne øje med, hvad andre virksomheder laver og hvilke nyheder, som Datatilsynet deler. Hun gør dette for at få inspiration og for at holde sig opdateret. Hun justerer Novicells processer løbende for at sikre,at de følger de bedste praksisser. 

Som Anne selv siger: 

“Der er hele tiden noget nyt. Det er vigtigt, at fingeren på pulsen. Der kommer udtalelser fra Datatilsynet. Der kommer nye sager. Der kommer nye vejledninger. Hele tiden prøver vi at tilpasse efter, hvad der sker.” 

Selvfølgelig, så leder revideringen og det at holde øje med nye vejledninger og inspiration til den sidste del af “strategien”, hvilket er at sørge for, at alle medarbejdere forstår, hvorfor de skal beskytte persondata hver eneste dag. 

ISAE 3000 som rammeværk for GDPR-arbejdet 

Novicell har valgt at blive revideret hvert år. Anne forklarer, at det skaber en masse opgaver, fordi revisionsprocessen har en masse standarder, som de skal lave op til, når det kommer til håndtering af persondata. På den måde fungerer ISAE 3000 som et rammeværk for Novicells GDPR-arbejde. 

Da Novicell blev revideret for første gang, så hjalp alle de nye opgaver dem med at få en struktureret tilgang til deres GDPR-arbejde, og det styrkede også deres sikkerhed. ISAE 3000 var altså på daværende tidspunkt ret styrende for deres arbejder.

I dag fungerer revideringen mere som et årligt tilsyn, for at sikre, at de holder sig compliant. Derfor er revisionen altså ikke den primære motor for deres daglig GDPR-arbejde mere.  

Men den er stadig værdifuld. Det hjælper at få eksterne revisorer til at komme og checke op på ens arbejde en gang om året, da de finder nogle ting, Novicell kan forbedre. 

”De laver kontroller og tjekker fra A-Z, når de er ude ved os en gang om året. Og der udspringer jo også nogle nye problematikker, som gør, at okay, så er det så det her ,der skal til.” 

Udover de opgaver, som tilsynene skaber, så er sørger det årlige besøg fra revisorerne for, at Anne og hendes hold gør en indsats. 

Novicell startede med en Type 1-erklæring før de fik en type 2 

Da Novicell blev revideret første gang, fik de en Type 1-erklæring. En Type 1-erklæring er fundamentet, som man bygger ens hus på, kan man sige. Konkret, betyder det, at en Type 1-revisionserklæring er en rapport over procedurer og kontroller, som organisationen har indført for at sikre persondata. Erklæringen tjekker dog ikke, om man rent faktisk efterlever disse procedurer. Type-1 erklæringen er ofte en gode måde at starte på, da det er billigere og kræver mindre arbejde end en Type-2. 

I 2020 og 2021 fik Novicell Type 2-erklæringen, hvor det ikke er nok at have procedurerne og kontrollerne på plads, men man skal også have dokumentation for, at man opererer korrekt ved at have en ekstern revisor til at kigge ens aktiviteter igennem. Det er et stort stykke arbejde, men det er også en måde at verificere, at man gør det ordentligt, som Anne siger: 

”Det var mest udfordrende første gang. For hvad er det, at revisorerne vurderer som tilstrækkeligt for at tjekke et flueben ved? Har man gjort det på den måde, som det skal fortolkes i loven? Og det var så rart, for de sagde faktisk, at det var et af de bedste setups de havde set på deres besøg. Og det gav sådan en ro” 

Revisionserklæringen er en måde at verificere det arbejde, som du foretager dig i din organisation.  

Revisionserklæringen er også en konkurrencemæssig fordel 

Udover at styrke din sikkerhed ved at sørge for, at du beskytter persondata ordentligt, så har ISAE 3000 også nogle fordele, når det kommer til branding. Erklæringen er et selling point, som Novicell kan vise kunderne. De er certificeret, og det viser, at de tager GDPR seriøst.

”Det giver et kæmpe konkurrenceparameter. Det giver værdi for vores kunder. Det giver værdi for mig og Novicell at vide, at der har været en ekstern og se ned i vores arbejde og revidere det. så det ikke bare er mig selv, der vurderer, at det ser fornuftigt ud. Det giver bare god værdi. 

Novicell og Anne kan se, at det skaber værdi, da det skaber tillid og gør både kunder og samarbejdspartnere afslappede. Det er et bevis på, at Novicell ved hvad de laver, når de håndterer persondata. 

At holde sig opdateret i GDPR miljøet 

Den anden del af Annes strategi er at holde sig opdateret og justere løbende. Grunden til dette er, at GDPR-landskabet udvikler sig hele tiden. Det betyder, at du bliver nødt til at følge nye juridiske retssager og anbefalinger for at sikre, at du holder dig opdateret.  Retssager skaber præcedens, hvilket hjælper dig med at vide, hvor meget eller hvor lidt du skal gøre for at holde dig compliant. 

Kort sagt, så er det en kontinuerlig proces, hvor du hele tiden lærer og justerer.

Anne er klar over, at det betyder, at en stor del af hendes job går ud på, at holde sig opdateret på, hvad Datatilsynet, industriledere og andre har gang i. Anne vurderer hele tiden, om nyhederne er relevante for Novicell. Hvis det er, så handler det om at sætte det i værk. Derfor skal hun hele tiden være fleksibel i hendes GDPR-arbejde.

Tag nyheder og sæt det i værk for alle medarbejdere 

Det er meget arbejde at evaluere nyheder eller anbefalinger og sætte det i værk for alle medarbejdere. Vi kan bryde det ned i tre oversimplificerede trin: 

  • Indsaml information/inspiration fra nyheder/virksomheder/retssager

  • Sæt det i et juridisk perspektiv (hvad siger GDPR om det)

  • Tag loven og inspiration og skab en pragmatisk tilgang

Men hvordan gør du det? 

Du finder f.eks., måske ud af, at du har brug for en IT-sikkerhedspolitik. Det er helt fint, men hvordan hjælper det medarbejderne, som måske finder politikken irrelevant i deres daglige arbejde?

Anne har taget deres politik og samlet alle de relevante ting for medarbejderne, det har hun så brugt til at skabe en lille guide/håndbog med kun de relevante og lavpraktiske informationer for medarbejderne. På den måde, så sørger hun for, at det strategiske dokument bliver brugbart for alle. 

Jeg vender tilbage til den lille håndbog senere, da det er en hovedingrediens i Annes arbejde. 

Revisionserklæringen og at holde sig opdateret er, hvad der indrammer, hvad Anne laver, men hvordan ser det egentlig ud i dagligdagen? 

Den største udfordring er kommunikationen 

Den største udfordring for Anne er at skabe en organisationskultur, der sørger for at Novicell er GDPR compliant. Det kan godt være, at det er Anne, der ved, hvad skal der skal gøres, men hun kan ikke gøre det hele selv. Alle medarbejdere må hjælpe med at få det til at ske. Derfor er en af Annes største udfordringer kommunikationen. Hun skal tage GDPRs kompleksitet og oversætte det til lavpraktiske processer for medarbejdere. Udover det, så skal hun sørge for, at alle medarbejdere forstår, hvorfor compliance er vigtig i en travl hverdag og sørge for, at de følger processerne. Medarbejderne behøver ikke at vide alt, men de skal vide, hvad de skal gøre, og hvad de skal være opmærksomme på. 

”Det kan også være en udfordring at få prioriteret uddannelse af medarbejdere. For det kan være svært for medarbejdere at prioritere, når de har en fyldt kalender med kundemøder, forskellige deadlines og launches.” 

Effektiv kommunikation er løsningen på udfordringen.

Nøglen til GDPR-dagligdagen er en GDPR-håndbog og awareness-træning for medarbejdere

GDPR er ikke sexet og vækker ikke nødvendigvis glæde hos medarbejderne. De fleste mennesker bliver trætte, når GDPR bliver nævnt, de ser det som en forhindring i deres arbejde. 

“Jeg kommunikerede meget for ikke at gøre GDPR skræmmende og forbinde det med noget positivt hos medarbejdere. Jeg kunne høre, at andre steder var det meget ‘Åh hvad er det nu for nogle ekstra krav’ og ‘Det bliver godt nok indviklet’. Derfor har jeg prøvet at vise, hvordan det er i de små ting, vi skal gribe det an. 

Selvom GDPR er en juridisk udfordring, så handler det om kommunikation, processer og at få folk med om bord. Anne fokuserede meget på, hvordan hun framede udfordringerne, og hvordan hun talte om dem for at gøre det imødekommende og positiv.

Anne har implementeret to store ting for at sørge for, at de kommunikerer de vigtige pointer på en effektiv måde. Hun har implementeret en GDPR-håndbog til alle medarbejdere + Awareness-træning for alle. 

Lad os starte med håndbogen. 

GDPR-håndbog for alle medarbejdere 

Jeg har allerede hurtigt nævnt GDPR-håndbogen, som Anne har skabt sammen med nogle af hendes medarbejdere. Håndbogen er en af hovedkomponenterne i medarbejdernes daglige GPDR-arbejde. Det er en lille guide, hvor alle kan slå op på, hvad man skal gøre, hvis man er i tvivl om noget relateret til persondata. Man kan kalde det en medarbejder-guide. 

Lad os sige, at en medarbejder er færdig med et projekt, og at Novicell så skal slette alt persondata fra de involverede kunder i projektet. Så kan medarbejderne slå op i håndbogen og finde ud af, hvordan man starter den proces. Det er sjældent, at medarbejderen selv skal udføre processen, men de skal sørge for, at den startes. Derfor er det første skridt ofte, at gøre Anne eller en anden person klar over, hvilken proces der skal startes. Herfra er ansvaret ikke længere hos medarbejderen. Håndbogen viser dem, hvad de skal gøre uden at gå i dybden med, hvad der sker bagefter – de behøver ikke at vide det. 

“Det vigtigste er at få sat processen i gang. Råb højt, vi er her. Jeg skal nok få sat processen i gang. Det er ikke dig, der skal gøre det, men du skal orientere mig om det, så jeg kan sætte noget i gang.  

Hvis medarbejderen skulle kende hele processen, så ville det blive en byrde for dem, da det er meget information at holde styr på. De har nok på tallerkenen. Hvis de bare kender det første skridt af processen, så fungerer dagligdagen. 

Smart CTA_e-book DK

GDPR-håndbogens fordele 

Anne nævner, at en af fordelene ved håndbogen er, at alt er samlet på et sted. Det er derfor vigtigt, at den kun er fyldt med relevant materiale, så det er nemt og hurtigt for medarbejdere, at finde hvad de har brug for. Håndbogen er den samme for alle medarbejdere, men nogle dele er måske mere relevante end andre for f.eks. udviklere eller projektledere. I alt er håndbogen ikke meget længere end et par sider. Den har referencer til en masse andre dokumenter, men medarbejderne behøver ikke at læse dem, de skal bare vide, at de eksisterer, hvis de har brug for dem en dag. 

”Det gør det bare nemmere at kommunikere, når det er 2 sider og nogle bullets indenfor hvert område. Og så kan man sige ‘Okay, jer der er projektledere, I skal holde særligt øje med side 2, for der er noget vigtigt for jer.’ Man kunne jo sagtens skrive en hel bog eller tage persondataforordningen på 200 sider og sende dem ud til medarbejdere og sige, så går vi ud fra, at I lever op til det. Men det vil jo slet ikke fungere. Vi skal sikre, at man følger reglerne, fordi vi kommunikerer dem klart og præcist, og at det ikke bliver information overload.” 

Ved at holde det kort og godt, er det ikke en krævende opgave for Novicell-holdet at slå op i håndbogen. Du kan som GDPR-ansvarlig ikke regne med, at medarbejdere er i stand til at navigere gennem en masse information, som ændrer sig hver uge. Når det kommer til GDPR, så gælder talemåden “Keep it simple, stupid”. 

Håndbogen er under konstant udvikling 

Det er vigtigt at nævne, at man ikke bare laver en håndbog med et sæt retningslinjer, sender den til alle medarbejdere, læner siger tilbage og siger “færdigt arbejde”. 

Anne vender ofte tilbage til bogen for at sørge for, at den er opdateret. Hvis Datatilsynet laver nye anbefalinger, så justerer hun håndbogen til, at den passer disse. Håndbogen er medarbejdernes nummer et reference-værk, så den skal være brugbar og opdateret. 

Hvordan sikrer man, at folk bruger håndbogen? 

Det er en ting at lave en håndbog. En anden udfordring er at sikre, at hele holdet tilpasser sig til den og bruger den i dagligdagen:

”Vi har en kontrol. Det er chefen i de forskellige teams, der har ansvaret for at denne employee-guide bliver implementeret i hvert team. Men de kan altid sige til, hvis de skal have min hjælp. Nogle gange er jeg ude og fortælle i en halv time til et morgenmøde, f.eks. hvis der er sket noget nyt.” 

Holdlederne og Anne sørger hele tiden for, at folk forstår vigtigheden ved håndbogen, og at de sørger for at kommunikere det, når den bliver opdateret. Udover det, så er håndbogen en vigtig del af alle nye ansattes onboarding proces. 

Håndbogen er vigtig for Novicells GDPR-arbejde 

Som du måske har fanget nu, så er håndbogen alle medarbejders go-to videnscentral, når det kommer til håndtering af persondata. Hvis de ikke kan finde svaret i håndbogen, så ved alle, at Anne er den man skal spørge. På denne måde får de klar kommunikation, og alle ved hvad man skal gøre.

Men håndbogen er ikke det eneste initiativ, som Novicell har implementeret. 

Novicell bruger CyberPilots awareness-træning 

Et andet vigtigt initiativ, som Novicell har implementeret er CyberPilots awareness-træning. For udover at vide, hvad man skal gøre, så skal medarbejdere også vide, hvorfor det er vigtigt. Ligesom, at Anne holder sig opdateret, så skal medarbejdere også være opdatereret, når det kommer til det essentielle af cybersikkerhed og GDPR. De behøver ikke at være eksperter, men de skal vide, hvorfor det er vigtigt og hvad de skal være bevidste om. Det er her awareness-træning kommer ind i billedet.

Anne siger: 

”Det er håndgribelige emner. Der kan f.eks. komme en ny samtykke-vejledning, og det kan man jo sagtens sige til ens medarbejdere, men hvad betyder det egentlig, og hvordan skal vi leve op til det i praksis. Og der passer de kurser, der sendes ud fra jer af. Der kommer noget forklaring på, hvorfor og hvordan man så gør, og hvad det er, at man så sikrer. Hvordan beskytter vi data bedst muligt med nogle helt lavpraktiske eksempler, der hjælper på forståelsen af det.” 

Awareness-træningen er altså den anden del af at effektivt kommunikere GDPR.  

Det er svært at være med på beatet hele tiden

Anne og hendes hold har selv skabt håndbogen, så hvorfor ikke også selv lave awareness-træning? Det simple svar er, at man ikke kan gøre alt selv som en one-woman army. 

”Der kommer hele tiden nye fortolkninger. Det stiller også nogle krav til Awareness, for man skal vide, hvad det er, som man skal lave awareness omkring – Hvad skal det være for nogle temaer? Derfor har vi teamet op med jer. Det sikrer, at vores medarbejdere bliver uddannet undervejs. Det er rigtig fint, at man løbende får tilsendt kurser. Mit indtryk er, at I er med på beatet. Så hvis der har været noget nyt i medierne eller noget nyt fra Datatilsynet, så kan det være et emne i næste måneds kursus.” 

Ved at teame op med os her i CyberPilot, så behøver Anne ikke at være med på beatet om, hvad medarbejdere skal vide. I stedet for kan hun fokusere på de interne processer og kommunikationen af disse. Hun synes, at awareness-træning er en gode måde at holde sine medarbejdere opdateret på. 

”Efter min mening er det den bedste måde at håndtere det på. For på det her område kan du simpelthen ikke være foran. Du bliver nødt til at have en finger på pulsen. 

I Annes øjne, så handler god awareness-træning om at sørge for, at holde alle medarbejdere opdateret på nye og vigtige GDPR og cybersikkerheds-emner. 

At træningen hjælper folk med at holde sig opdateret, er også en af grundende til at CyberPilots awareness-træning er kontinuerlig og ikke bare et kursus gang om året.  

Awareness-træningen bruger eksempler fra det virkelige liv 

En af tingene, som awareness-træning hjælper med, er at vise eksempler på, hvordan forskellige emner og situationer kan påvirke det virkelige liv. Eksemplerne sætter Novicells interne processer i perspektiv, da de viser vigtigheden af stærk sikkerhed. Nyhedsværdien af awareness-træning gør det samme – det sætter processerne i perspektiv og forklarer, hvorfor de er vigtige. I Annes beskrivelse af awareness-træningen, siger hun:  

“Det har fungeret godt. Nyhedsværdien betyder meget for mig. Det giver os en sikkerhed i, at vi får uddannet vores medarbejdere i det, der ligesom fylder lige nu og her, og der kommer nogle praktiske eksempler. Man kan have mange to-do’s i hovedet, men det med at få nogle eksempler på og sige ‘Det er det her der skal til’ eller ‘Sådan undgår man et brud’ eller ‘I tilfælde af et brud, så skal man have styr på det her, ellers går det galt’. Der har været noget med phishing, der har også været noget om spam-mails. Det der med, at hvis der har været noget, der har fyldt på den front, så er det fint der kommer kurser om det. Og så er det lavpraktisk og konkret.” 

De konkrete eksempler og beskrivelser er hvad der får det til at fungere, da det sætter det lidt fluffy GDPR i perspektiv ift. det, man foretager sig i ens dagligdag - eller i det mindste dækker, hvad man skal være klar over i ens dagligdag. 

GDPR-håndbogen og awareness-træning arbejder sammen

Vi kender alle følelsen af, at hvis du ikke ved hvorfor en regel eksisterer, så virker reglen ofte dum, så hvorfor følge den? 

GDPR-håndbogen og awareness-træning arbejder godt sammen i at sørge for, at alle følger processerne. GDPR-håndbogen håndterer kommunikationen om interne processer og medarbejderes dagligdag. Awareness-træningen dækker viden på et mere generelt niveau og hjælper med at kommunikere, hvorfor det er vigtigt for medarbejdere at være opmærksomme.

Man kan sige, at awareness-træningen svarer på hvorfor, og håndbogen svarer på hvad. 

Tilsammen sikrer håndbogen og træningen for, at persondatasikkerhed og GDPR er på agendaen hver eneste dag, uden at det tager for meget tid. Det er et godt skridt til at skabe en bedre IT-sikkerhedskultur. 

Smart CTA_phishingcase DK

Starten er altid svær 

Det er altid sværest at få et budskab igennem i begyndelsen af nye projekter. 

”Jeg har en feeling af, at det fungerer fint, men jeg tror også, at vi er en branche, hvor vi skal passe meget på, fordi vi sidder med så meget kundedata, som vi gør. Så jeg tror, at læringskurven har været stejl fra start af, da der har været mange krav for konsulenterne og udviklerne. Men de forstår vigtigheden.” 

Derfor skulle Anne og Novicell gøre en ekstra indsats i starten. De har sørget for at sikkerhed, altid er en del af holdets mind-set. En måde, hvorpå de har gjort det i starten var via fysisk awareness. 

De lavede bl.a.. lavet merchandise såsom klistermærker til at minde folk om gode sikkerhedsvaner. 

”Vi har haft noget nudging. Vi har fået lavet noget merchandise. Klistermærker og sådan noget. Hvis vi så f.eks. har set nogle, som ikke har låst deres computere, så har vi klistret et klistermærke på skærmen eller tastaturet. Det gjorde vi meget i starten, da vi implementerede guiden for at gøre opmærksom på den.” 

Det er vigtigt at få en god start og få medarbejderne om bord. Klistermærker er en måde at gøre det på. Det er nye vaner, der skal skabes, og derfor kræver det en stor indsats.

Der er mange måder at skabe fysisk awareness på 

Anne har brugt klistermærker til at skabe awareness ved Novicell. En anden måde at gøre det på kunne være via kopper, t-shirts, plakater og en masse andre ting. Kun din fantasi sætter grænser. Hos CyberPilot har vi lavet en masse plakater, som du kan finde lige her og bruge i din virksomhed. Det er en hurtig måde at komme i gang på, og du behøver ikke designe noget selv. 

3 hurtige tips til andre virksomheder

Vi spurgte Anne, om hun havde 3 hurtige tips til andre virksomheder, som man kunne følge. Det havde hun heldigvis.

Gør dig klar til at tage noter. 

1. Bliv certificeret eller revideret 

Det første tip fra Anne er at blive certificeret. Det er ikke kun en konkurrencemæssig fordel, det er også en plan for dit arbejde. Denne plan vil hjælpe dig med at skabe de nødvendige processer og dokumentation i dit GDPR-arbejde.

Vi har skrevet en blogpost der dækker ISO 27001 certificeringen samt ISAE 3402 revisionserklæringen 

2. Få overblik over, hvordan du dokumenterer dine procedurer, og hvem der er ansvarlig 

Annes andet tip er at få styr på sin dokumentation. Dokumentation lyder måske kedeligt, men det giver god mening. Dokumentation og klarlæggelse af, hvem der har ansvaret for hvad er vigtigt. Dokumentation skal sikre, at processer bliver fulgt, og at alt er håndteret korrekt. 

“Du skal være i kontrol af, hvilken data du håndterer og hvorfor. Hvis et sikkerhedsbrud sker, så kan vi ikke kontakte de relevante kunder, hvis vi ikke har et overblik over vores egen dokumentation og procedurer. Vi har kontroller på alle vores procedure for at sørge for, at det kører”. 

Selvom dokumentation måske ikke er så spændende, så skal det ordnes. 

3. Find værktøjer, der kan gøre arbejdet nemmere 

Der er et utal opgaver, når du prøver at gøre din virksomhed GDPR-compliant. 

Hvorfor ikke få alt den hjælp du kan få for at gøre det nemmere? 

Annes tredje råd er at finde værktøjer, der kan hjælpe dig i dit arbejde. Nogle redskaber kan spare dig en masse tid. 

Hvordan Anne ser fremtidens GDPR 

Vi elsker alle en god sci-fi historie, så hvad med fremtidens GDPR? Hvor vil vi være om fem eller ti år, når det kommer til GDPR? Det er et godt spørgsmål, og Anne tog også noget tid til at tænke over det 

“Jeg tror, at der er flere eksempler, som vi kan læne os op ad. Der er nok også flere sager, hvor der er kommet en afklaring, hvor man er nået frem til, at ‘det var så det de fortjente for den adfærd’. Jeg tror også vi kommer til at se flere og flere udbydere af systemer, der kan give en hjælpende hånd.” 

Det lyder som om, det kun vil blive nemmere og mere lige til, men vi skal ikke få vores håb for højt op ifølge Anne. 

“Når vi snakker integritetsbeskyttelse og databeskyttelse på et højere niveau, så er det bare kompliceret stof. Det er bare mere fluffy og sværere end hvis man f.eks. tager ansættelsesret, hvor man kan sige ‘Der er sket det og det og det, godt, hvad så'. Det er bare for at sige, at databeskyttelsesret er enormt fluffy. Det udvikler sig hele tiden. 

Så selv om vi får flere retssager og eksempler at læne os op ad, så er der ingen garanti for, at det der er sandt i dag, er sandt i morgen. Kravene og niveauet af initiativer, du skal have implementeret, er måske højere om 5 år, end de er i dag. 

En ting er til gengæld sikker, GDPR vil sørge for at vi ikke går fuld Minority Report på persondatahåndtering i fremtiden.  

Bevidste medarbejdere er fundamentet 

Det kan godt være, at GDPR-arbejdet er i konstant udvikling og ser anderledes ud fra dag til dag, men Anne og Novicells arbejde viser, at en ting er en stabil del af arbejdet: IT-sikkerhedskulturen. Hvis dine medarbejdere forstår, hvor vigtigt det er at beskytte persondata, så bliver alt nemmere. Opmærksomme medarbejdere er mere tilbøjelige til at følge de rigtige processer og tilgå nye forandringer med et positivt mind-set.

Medarbejderens bevidsthed og en stærk IT-sikkerhedskultur er fundamentet for god datasikkerhedspraksis.