Har du lyst til at høre om effektivt GDPR-arbejde fra eksperten selv? Så er du landet det rigtige sted! Vi har snakket med Anna Eidvall, som har givet os råd til hvordan man implementerer succesfuld GDPR og databeskyttelsesinitiativer, og hvordan enhver virksomhed – store som små – kan overvinde almene GDPR-udfordringer. Anna deler hendes indblik i disse emner, og meget mere:
-
Hvorfor du skal budgettere og lægge en plan for gøre databeskyttelse til en rullende prioritering
-
Hvordan man kan undgå en falsk tro på at man er compliant, bare fordi man allerede dokumenterer sine processer
-
Det skiftende fokus over til små og mellemstore organisationers databeskyttelsesansvar
Om Anna Eidvall
Anna Eidvall er både Partner, Bestyrelsesmedlem og Head of Privacy and Data Protection hos MAQS Advokatbyrå i Stockholm. Hun besidder erfaring indenfor databeskyttelse og rådgiver om databeskyttelsespolitikker, informationsmeddelelser, konsekvensanalyse´af databeskyttelse, samt tredjelands overførelser. I en nøddeskal er hun din go-to-ekspert, hvis du vil være up-to-speed omkring de seneste privatlivstrends eller har brug for hjælp til at forstå, hvad GDPR betyder for din virksomhed.
Hvad der motiverer Anna til at arbejde med GDPR og databeskyttelse
Hvordan kom du i gang med at arbejde i feltet og hvordan har dit arbejde forandret sig, da GDPR trådte i kraft?
”Min første opgave hos min første arbejdsgiver, da jeg var blevet færdig på universitetet, omhandlede rådgivning af en kunde om en databeskyttelsesproblematik. Det var et rent tilfælde. Jeg har været hooked lige siden.”
”Før GDPR var min praksis en smule mere bred og splittet mellem databeskyttelse og kommerciel lovgivning. Men lige så snart GDPR kom i spil, blev min praksis overtaget af spørgsmål om databeskyttelsesanliggender.”
Hvad er det der gør dig passioneret omkring GDPR?
”Databeskyttelse er en menneskeret og bliver kun mere vigtigt i takt med digitaliseringen osv. Og når man arbejder med databeskyttelse begynder man at spørge sig selv ’Hvordan ville jeg have det med det her?’”
GDPR i din organisation
Hvad er 3 ting som man kan gøre for at gøre GDPR til et emne som folk går op i og gerne vil lære om?
”Hovedtingen som vi alle er nødt til at gøre på alle niveauer er, at øge awareness – igen, databeskyttelse er en menneskeret og personer har faktisk meget kontrol over deres egne data. Siden at dette er sådan en fundamental del af digitaliseringen, bør træning og forståelse af basis-principperne altså være inkluderet i langt flere universitetsuddannelser. Slutteligt, og det som jeg tror sker, er at inkludere det i den politiske dagsorden.”
Hvad er den største misforståelse som de fleste personer har om GDPR?
”Det er at det er ulovligt at bruge andres data uden deres samtykke.”
Og hvad er én ting som GDPR-ansvarlige kan gøre ved den misforståelse?
”At sikre at de er transparente omkring hvordan de behandler de individuelles data og at sørge for at give de rigtige værktøjer (f.eks. information- og databeskyttelsesplatforme), som gør det lettere at forstå hvordan persondata bruges af ’GDPR-ansvarlige’ (og på hvilket grundlag).”
Hvad er to eksempler på GDPR-initiativer som du har set fungere i virksomheder?
”Basis medarbejder-træning og specifikke awareness-programmer.”
”Det er fundamentalt at uddanne og involvere alle medarbejdere i databeskyttelsessager, samt at øge niveauet af awareness i hele organisationen, inklusive ledelsen. Dette tillader for identificeringen af spørgsmål om databeskyttelse, samt at disse håndteres korrekt i den daglige arbejdsgang.”
”Organisationer der lever og ånder databeskyttelse fra toppen, og bruger en ’tone fra toppen’ tilgang er generelt mere succesfulde i deres implementering.”
Er der nogle eksempler fra dit eget arbejde, som har fungeret godt? Hvad er de og hvilke ændringer medførte de?
”For mange virksomheder er det svært at vide, hvor man skal begynde, og arbejdet kan godt virke overvældende til at starte med. For at få en bedre forståelse for niveauet af compliance, både for vores egen og klientens skyld, kombinerer vi en databeskyttelses-gap-analyse med basis-træning for at få klienten til begynde og tænke over databeskyttelse-sager på en letforståelig måde.
”Dette får hele organisationen involveret på et tidligt stadie, hvilket er med til at skabe en fornemmelse af ansvar der flyder igennem hele organisationen. Med analysen som udgangspunkt er det lettere at planlægge og prioritere, samt at få alle ’med ombord’.
GDPR er ikke nyt længere, men compliance kan stadig være svært. Hvad ser du som værende nogle af de største smertepunkter eller udfordringer, når man arbejder med GDPR/at være compliant hvert år?
”At sikre at der lagt et fyldestgørende budget, samt allokeret tid til compliance-relaterede emner. Compliance er ikke et engangsprojekt, men noget som man skal leve og arbejde praktisk med hver dag.”
Hvad er tre konkrete ting som virksomheder bør gøre for at kickstarte deres GDPR-arbejde?
- ”Sørge for at der er afsat budget og tid til at overse arbejdet og ’projektet’ igennem.”
- ”Udpege en intern medarbejder, som skal være ansvarlig for disse spørgsmål (det behøver ikke at være en sikkerhedsprofessionel). Hvis den rigtige ekspertise ikke eksisterer internt, så bør man søge hjælp hos en konsulent til at forstå de lovmæssige rammer og dennes betydning for virksomheden.”
- ”Træning og øgning af awareness for at sikre at alle i organisationen tænker over databeskyttelse i deres almindelige arbejdsopgaver hver dag.”
Er der nogle specifikke ting som du ser at mange virksomheder forsømmer? Og hvad skal de gøre for at de compliance områder nemmere?
”Det er nemt at fokusere på dokumenteringen, som GDPR påkræver at man har på plads. Dog er der mange der fejler i at implementere dokumentationen. Vi ser derfor som konsekvens at meget dokumentation fra 2018 har fejlet i at blive efterlevet (eller/og opdateret) siden.”
”Bare det at have dokumentationen på plads er ikke ensbetydende med at man er compliant. I stedet kan det give en falsk fornemmelse af compliance.”
Specifikt for mindre virksomheder, hvad er tre ting, som IT-managers, DOP’er og GDPR-medarbejdere kan gøre for at holde trit med deres GDPR-arbejde, til trods for mindre budgetter og ressourcer?
”Der er mange gratis online uddannelser, webinars etc. Som kan hjælpe med at øge niveauet af awareness og viden, uden at man strækker et mindre budget. Det kan også være en god ide at tilmelde sig gratis nyhedsbreve, eksempelvis fra den lokale tilsynsmyndighed, for at holde styr på hvad der sker indenfor feltet, f.eks. hvis der kommer nye regler m.m.”
”På et mere generelt niveau er det afgørende at prioritere og fokusere på de mest vigtige og højrisikofyldte databeskyttelsesaspekter af organisationen, for at sikre at disse er håndteret.”
”I tilføjelse hertil, kan det oftest være meget ensomt at arbejde med GDPR i mindre virksomheder. Derfor er det typisk penge der er godt givet ud, når man allokerer et mindre budget til at have nogen at kunne spare med omkring de svære spørgsmål.”
Hvad Anna holder øje med i GDPR-håndhævelsesverden
Hvad er 2 eller 3 GDPR-sager/afgørelser, som du tænker fortæller noget om fremtiden indenfor GDPR-fortolkning eller implementering indenfor de næste 5 år?
”Schrems-afgørelsen (I og II, samt andre der sikkert er på vej – f.eks. Meta-bøden). Afgørelserne demonstrerer, hvor problematisk det kan være ikke at have det fulde billede af ens data-flows, og at vores høje standarder er svære at efterkomme i praksis. Det udfordrer også grænserne for hvor GDPR tillader risikobaserede tilgange – noget som jeg tænker vi kommer til at se mere af i de kommende år.”
”Helt generelt fokuserer mange afgørelser/sager på data-emners rettigheder og basisprincipperne. Dette vil højest sandsynligt fortsætte, hvilket gør det vigtigt at have ekspertise indenfor databeskyttelse på hånden.”
”Fokusset på større og mellemstore virksomheder kommer højest sandsynligt også til at fortsætte. Dette gør sig nok også gældende for internationale sociale medieplatforme og andre aktører.”
Internationale dataoverførelser er blevet mere kompliceret. Hvad er 2 eller 3 ting, som virksomheder kan gøre for at holde deres dataoverførelser compliant?
”Det er vigtigt at gennemse alle internationale dataoverførsler, som der finder sted udenfor din organisation for at sikre både retsmæssige og GDPR-overholdende overførelser udenfor EU/EEA. Dette inkluderer blandt andet at besidde en fuldstændig forståelse for ens data flows og de aktørerne/lande der er involveret.”
”Derfor skal virksomheder sikre at deres optegnelser over overførelsesaktiviteter (ROPAer) er up to date. Virksomheder skal også tjekke behovet for at gennemføre en dataoverførelsesvurdering (DTIA) – og sikre sig at de eller udbyderen har gjort dette. Hvis der skal gøres brug af standardkontraktklausulerne (SCCer), skal du sikre dig at I bruger den nye version.”
Udviklingen af nye AI værktøjer har tiltrukket sig meget opmærksomhed gennem det seneste år. Hvilke forpligtelser har virksomheder til at sikre databeskyttelse med disse nye værktøjer? Hvad er 2 eller 3 foranstaltninger, som virksomhederne bør tage?
”Hvis udviklingen eller brugen af AI værktøjer inkluderer persondata, så skal GDPR-reglerne efterleves.”
”Dette betyder at der skal foreligge et lovligt grundlag bag (både i henhold til træning og brug). Oftest kræver det også en databeskyttelsesvurdering. Alt efter udkommet af sådan en vurdering, kan der være behov for at implementere andre tiltag -f.eks. politikker/instruktioner omkring, hvordan sådanne værktøjer skal bruges, fastholdelsesordninger etc. I tillæg til dette skal information om processering selvfølgelig inkluderes i de relevante fortrolighedserklæringer.”
Brugen af IT-sikkerhedsframeworks i jeres databeskyttelsesarbejde
Mange virksomheder bruger GDPR og andre IT-sikkerhedslovgivninger eller rammeværk i deres databeskyttelsesarbejde. Lovgivning skal selvfølgelig overholdes, men hvad er fordelene ved at arbejde med sikkerhedsrammeværk, såsom CIS?
”At arbejde med sikkerhedsrammeværk ligesom Centeret for Internetsikkerhed (CIS) har flere fordele, såsom at sørge for et gennemgribende sæt af sikkerhedskontroller og best practices, som organisationen kan følge for at øge deres IT-sikkerhed. Dertil kommer CIS med et struktureret og veldefineret framework, som dækker forskellige aspekter af informationssikkerhed, inklusive adgangskontrol, hændelsesrapportering, sårbarhedshåndtering og systemhærdning. Implementeringen af disse kontroller hjælper organisationen med at etablere et stærkt sikkerhedsfundament, og beskytter deres systemer og data fra almene trusler.”
Afsluttende tanker og råd fra Anna
Hvad er det ene råd, som du vil give til virksomheder der kun lige er begyndt på deres GDPR og databeskyttelsesarbejde? Hvad med IT-sikkerhedsmanagerne?
”For at forstå hvordan databeskyttelsesreguleringer påvirker din virksomhed, skal du forstå hvordan GDPR og andre reguleringer gør sig gældende for din virksomhed. Der er måske medarbejdere, som allerede ved en smule om disse ting, eller som er interesseret i at lære mere om det, hvorfor det altid er en god ide at gennemgå hvilke ressourcer du allerede har indenfor organisationen til at bygge jeres databeskyttelsesorganisation.”
”Det er også vigtigt at ressourcerne samarbejder med andre vigtige stakeholders indenfor forretningen, såsom IT-sikkerhedsmanagere og andre der arbejder med lovmæssige sager, compliance, HR etc. Og – igen – sikre at du har budgettet og tiden til at set det hele vejen igennem!”
Hvilke ressourcer bruger du til at holde dig opdateret på alt relateret til GDPR?
”Nyhedsbreve – både fra virksomheder og myndigheder – er gode kilder til hurtig, samlet information. Der er også mange interessante og kyndige mennesker indenfor databeskyttelse, som deler deres tanker og indsigter på LinkedIn, man skal bare finde dem.”
Nogen anbefalinger til podcasts, nyhedsbreve, etc.?
”Jeg lytter typisk til podcastene Dataministeriet og Serious Privacy. Dertil udgiver min arbejdsplads MAQS[-advokatfirma], tit nyhedsbreve om databeskyttelse og fortrolighed, som er gratis og let at tilmelde sig til: Interesseanmälan: nyheter inom integritet och dataskydd (ungpd.com).”
”Du skal også være mere end velkommen til at følge mig på LinkedIn, hvor jeg ofte deler indhold og nyheder om GDPR.”
Afslutningsvis
Vi er så taknemmelige for at Anna ville dele hendes tid og tanker med os! Hun har delt mange gode tips, til at opbygge et databeskyttelsesteam indenfor ens virksomhed, vedligeholdelse af awareness blandt medarbejdere, samt at forblive compliant i forbindelse med dataoverførsler.
Vi håber, at vores interview med Anna har været behjælpeligt!
