GDPR fejrer fødselsdag, og det er nu tre år siden, at mailbokse over det ganske land glødede rødt med opdateringer af privatlivspolitikker og cookie-indstillinger. Dengang fik mange virksomheder travlt med at få styr på GDPR. Men hvad er der så sket siden?
Først og fremmest er vi blevet meget klogere på, hvad GDPR egentlig er. Og selv om der i de indledende bemærkninger til Databeskyttelsesforordningen står, at reglerne ikke må medføre administrativt bøvl for den lille virksomhed, har en del nok måttet sande, at det trods alt kræver en indsats at få skabt den rigtige dokumentation – og ikke mindst holde den vedlige.
GDPR er en løbende proces
For hvor mange i starten troede, at det bare handlede om at komme i mål, har det siden vist sig, at det at nå frem til målstregen i virkeligheden handler om at rykke frem til start. For det er først, når alle de grundlæggende data er på plads, at den egentlige GDPR-indsats begynder. For GDPR er en løbende proces, der hele tiden skal holdes ajour.
Derfor oplever vi også, at danske virksomheder groft set kan opdeles i tre grupper.
De hurtige
Den første gruppe er dem, der i 2018 hurtigt fik hyret eksterne konsulenter ind til at ”løse opgaven”. Det var komplekst og krævede en del timer. Til gengæld kom der grundlæggende styr på GDPR. For en stund. For siden 2018 har mange ikke haft den store fokus på vedligehold, og derfor lever de i dag ikke op til reglerne. Det er grunden til, at vi aktuelt oplever, at flere fra denne gruppe nu henvender sig for at få en dynamisk løsning. For netop at sikre, at GDPR-dokumentationen løbende opdateres.
Gør-det-selv
Den næste gruppe er dem, der selv har forsøgt at klare opgaven – typisk ved hjælp af et regneark. Selvom de har været gode til at registrere og dokumentere, har mange også fundet ud af, at selvom et regneark er godt til at fylde data ind i, er det knap så godt til at holde dem vedlige. Derfor drukner de i data, der både er uoverskuelige og umulige at opdatere, og derfor søger de nu i stigende grad en dynamisk løsning, der kan sikre den løbende opdatering.
Lad os lige se tiden an
Den tredje og sidste gruppe er de virksomheder, der har set tiden lidt an, og selvom de et par gange har prøvet at komme i gang, er der ikke helt styr på det endnu. Så mange har nu besluttet sig for at få helt styr på GDPR, og de søger derfor en løsning, der både gør selve dokumentationen overkommelig, men som også kan sikre, at alle data til enhver tid er ajour.
Der er med andre ord en stigende bevidsthed om og ikke mindst vilje til at få GDPR implementeret i virksomhedens dagligdag – med fokus på enkelhed og dynamisk opdatering.
GDPR matters
Vi skal huske på, at der overordnet er et stærkt ønske om, at alle begynder at tænke i sikkerhed og beskyttelse af persondata. For vi skal alle føle, at vi trygt kan afgive personoplysninger.
Datatilsynet skal både overvåge og hjælpe – og de gør begge dele. Men selv for Datatilsynet er det svært altid at være helt præcise i deres anvisninger, da reglerne skal koordineres i hele EU. Derfor har Det Europæiske Datatilsyn altid det sidste ord.
Datatilsynet og fremtiden
Datatilsynet i Danmark har dog været modige front runners, da de lavede deres første udkast til en standard-databehandleraftale. Den blev grundigt gennemgået, kommenteret og tilrettet af Det Europæiske Databeskyttelsesråd, og indgår nu i de EU-godkendte standardaftaler.
Lige nu er fokus på overførsel af persondata til tredjelande. EU-Kommissionen vil gerne finde en pragmatisk løsning, men Det Europæiske Databeskyttelsesråd er mere restriktive.
Alle, der anvender amerikanske databehandlere, venter derfor i spænding på, hvilken beslutning der træffes. Så dette fjerde år bliver utvivlsomt også meget interessant!
Tillykke med dagen!