Af Henning Mortensen, CISO / CPO at Brdr. A&O Johansen A/S
Blog. Persondataforordningen er noget af en udfordring for rigtig mange virksomheder. Den er juridisk tung, teknisk svær og der er så meget fortolkning og gammel praksis knyttet til reglerne, at det ikke er simpelt at læse op på. Til gengæld koster konsulentbistand på området en lille formue, og virksomheder kan få store bøder ved ikke at efterleve reglerne. Der er derfor behov for en lavpraktisk tilgang til arbejdet. Og det leveres her i et excelark.
På baggrund af det arbejde, jeg selv har lavet med forordningen og reglerne i øvrigt gennem tiderne, har jeg struktureret de vigtigste problemstillinger, som virksomhederne skal belyse og formuleret dem som spørgsmål. Alle virksomheder har personoplysninger om kunder og ansatte. Spørgsmålene tager udgangspunkt i disse kategorier af personoplysninger og i takt med at de besvares, får man sin dokumentation på plads og får taget stilling til en række kritiske spørgsmål, som f.eks. hvad er nu lige formålet med, at en given oplysning behandles, og må jeg egentlig det? Det skal ses som en simpel og operationel tilgang til arbejdet med forordningen – og en gratis håndsrækning. Målgruppen er især mindre virksomheder, der ikke selv har specialistkompetencer på området.
Kompleksiteten i reglerne er som nævnt høj, og det er klart, at når man forsøger at presse 99 artikler og 173 præambelbetragtninger tillige med tusinder siders fortolkningspraksis ind i en håndfuld faner på et regneark, så må man hugge en hæl og klippe en tå. Mange af de fine nuancer af ekspertafvejning, som forordningen lægger op til, er for nærværende erstattet af et firkantet simpelt svar. Til gengæld vil jeg gætte på, at 90% af danske virksomheder kommer 90% i mål med deres dokumentationsarbejde med forordningen ved at bruge dette regneark. De får samtidig en to-do-liste over de forhold, der skal bringes på plads.
I takt med at vi bliver klogere på reglerne, og min fritid tillader det, har jeg til hensigt at opdatere regnearket. Kommentarer og bemærkninger skal være velkomne. Tak til de virksomheder og eksperter, der har læst og givet bemærkninger til de foreløbige udkast til værktøjet!
Linket til dette indlæg må gerne deles i det uendelige, og regnearket må gerne frit anvendes af virksomheder, der behandler personoplysninger. Bemærk ansvarsfraskrivelse og betingelser for kommerciel eller anden promoverende anvendelse i regnearkets første fane.
Jeg håber, at dette lille værktøj kan lette arbejdet med at beskytte personoplysninger. God fornøjelse.