Behandling af henvendelser om GDPR persondata er en operationel opgave, som din organisation måske ikke er klar til.
Dagen for det sidste punktum i et sandsynligvis langvarigt GDPR-projekt kommer nærmere. Der er styr på data og processer, og dokumentationen fejler ikke noget.
I ved hvor data befinder sig, og hvem der har ansvaret og de tekniske funktioner er tilpasset, så de overholder persondata-forordningen. Du føler dig klar til en hverdag efter den 25. maj.
Hvis det ovenstående er nogenlunde rigtigt, så er I måske i mål. Men er I klar til håndtering af de anmodninger, der kommer udefra?
For at overholde den opdaterede persondataforordning skal virksomheden kunne kortlægge og udlevere data på personer, der har haft digital berøring med organisationen, og efterladt sig spor i form af person-henførbare eller -følsomme data. For de fleste kræver det implementering på tværs af jura, HR og IT, da der kan være tale om ret store og komplekse datamængder.
En supportopgave?
Men lad os lige træde et skridt tilbage, og kigge på hvad en håndtering af GDPR-indsigtsret egentlig er.
Først og fremmest er anmodningerne ikke et begreb, der er beskrevet i detaljer i GDPR-dokumentationen, men man kan se det som en måde at behandle specifikke individers henvendelser i en ITIL Request Fulfilment eller ITIL Request for Service-sammenhæng.
Effektiv behandling af GDPR-anmodninger kræver en planlagt og koordineret indsats, så anmodningerne ikke siver ukoordineret ind gennem forskellige steder i organisationen.
Tænk det som en IT Service Desk-funktion. Personen med anmodningen henvender sig, får et nummer, og venter på at anmodningen behandles i kulissen, inden den udleveres i en fin pakke.
Processerne bagved er ligegyldige for den der har henvendt sig, men essentielle for organisationen.
Alle anmodninger skal behandles.
GDPR handler ikke udelukkende om at dokumentere for at undgå bøder, eller bare “være klar” til den 25. maj. Hvis man ikke er stand til at besvare GDPR-anmodninger på tilfredsstillende vis den 26. maj, kan det hurtigt udvikle sig uoverskueligt.
De færreste er i stand til, eller interesserede i, at have et dedikeret GDPR-team siddende og vente på anmodninger, der måske, måske ikke kommer. Derfor giver det mening at indkode en ny tankegang i de dele af organisationen, der bliver involveret i forespørgslerne, ligesom processerne i videst muligt omfang bør automatiseres.
Vigtigt er, at man bliver i stand til at håndtere såvel en begrænset som en større mængde anmodninger samtidig. Det kan især blive relevant i tilfælde hvor virksomheden har lækket data, eller gjort sig upopulær hos særlige grupper, der nu forsøger at drukne firmaet arbejdsmæssigt i håndteringen af disse anmodninger.
Vores erfaringer fra store GDPR-projekter viser, at mange virksomheder ikke har erkendt behovet for den koordinerede indsats på tværs af organisationen.
En løsning til anmodningshåndtering.
reflectIT kan hjælpe din organisation til at udvikle og implementere de rette processer og den rette ServiceNow løsning. Vores erfaringer stammer fra store internationale virksomheder indenfor både fødevare-, finans- og bankverdenen.
Vi kan implementere GDPR anmodningshåndtering som en Fast-Track-løsning, og gøre jer klar på kort tid.
Vi lover ikke en en løsning, der kan håndtere alt for jer, men vi hjælper med at skabe processer, der gør organisationen i stand til at håndtere anmodningerne, og levere resultaterne til brugerne, uden at drukne organisationen i arbejde.