Hvordan sikrer man ejerskab i sin GDPR-implementering?

En GDPR-implementering er ikke meget værd for en virksomhed medmindre den er bæredygtig. Og med bæredygtig menes her, at det vidensniveau, der opbygges i implementeringsprocessen bibeholdes løbende, og at ens GDPR-program udvikler sig i takt med ens digitaliseringsstrategi.

For at få dét til at ske, er det centralt at GDPR-opgaverne ikke blot ligger placeret hos en centraliseret funktion, som ikke har en chance for at følge med i alt hvad der sker ude i forretningen. En række essentielle opgaver bør spredes ud til forretningen via klare rolle- og ansvarsbeskrivelser, som er fastsat i forening mellem forretningen og de GDPR-folk, man har i sin virksomhed.

Men selvom man når dertil, er der stadig en relativt høj risiko for at ens GDPR-program sander til, og at man fortsat vil være eksponeret til de risici, man har prøvet at mitigere. Tre år senere står der igen advokater og konsulenter på dørtærsklen. Jeg har set det ske utallige gange.

Nøglen til en bæredygtig implementering ligger i at etablere den nødvendige grad af ejerskab hos forretningen, og selvom det kan virke som et banalt udsagn, ser jeg ofte at virksomheder vælger en strategi som er baseret på gode intentioner, men som reelt skader det overordnede GDPR-program mere end det gavner.

Min erfaring har vist, at ejerskab er drevet af fem faktorer, som enhver virksomhed kan – og bør – skrue på for at forøge graden af ejerskab hos forretningen. Du kan se faktorerne i illustrationen nedenfor, og jeg gennemgår dem hver for sig efterfølgende. 

1. Antal Opgaver

En helt klassisk fejl som mange begår er, at kortlægge alle de GDPR-opgaver man gerne vil have udført, og at skubbe dem alle sammen ud til forretningen. Dette sker typisk ved, at man etablerer en governance-struktur, hvor en person i ledelseslaget har det overordnede ansvar for opgaverne som helhed, mens personer med et mere operationelt ansvar, skal sikre opgavernes udførsel.

I de mere ekstreme tilfælde, hvor man lægger samtlige GDPR-opgaver ud til forretningen, vil personer fra HR, Salg, Marketing osv. således i praksis have ansvar for bl.a. at sikre udarbejdelse af privatlivspolitikker, håndtere databehandlere, etablere tekniske sikkerhedsforanstaltninger, håndtere databrud, sørge for lovlig behandling af persondata mv.

Sværhedsgraden ved udførslen af disse opgaver er én ting (og det område gennemgås nedenfor), men ejerskab påvirkes også i sig selv af mængden af opgaver, man udliciterer til forretningen.

GDPR giver som udgangspunkt ikke operationel værdi. Det er et samsurium af jura, revision og IT-sikkerhed, som kan være tungt, og som er sat i verden for at sørge for, at visse situationer ikke indtræder. Jo flere GDPR-opgaver, man pålægger forretningen, desto større vil sandsynligheden derfor være for, at ingen – eller kun en begrænset mængde – af opgaverne rent faktisk udføres. Og så er kampen om ejerskab tabt på forhånd.

Sandsynligheden for, at alle opgaverne udføres grundigt, vil imidlertid forøges, jo færre opgaver, der skal udføres. Ejerskab er således bl.a. drevet af antallet af opgaver, der skal udføres.

Man bør derfor se grundigt på sin organisation og overveje hvilke af de opgaver, man pt. har pålagt forretningen, som kan trækkes tilbage til sit legal/compliance-team, og man bør i den forbindelse være skarp i sin vurdering af om det er 100 % af et område (fx håndtering af databehandlere), som skal lægges hos compliance-teamet, eller om det blot er den overvejende del området.

Det vil eksempelvis være fornuftigt at lave en fordeling, hvor forretningen udelukkende har ansvar for at identificere nye databehandlere mens onboarding-processen samt monitorering og off-boarding foretages af fx compliance-teamet.

På den måde skal man blot sikre, at forretningen er i stand til at råbe vagt i gevær, når der potentielt er en ny databehandler på vej, og selvom det kan være en svær øvelse i sig selv, er det i langt højere grad en opskrift på succes, end hvis man giver forretningen ansvar for at sørge for risikovurderinger, monitorering osv. 

2. Sværhedsgrad ved hver opgave

Foruden at være drevet af antallet opgaver, drives ejerskab ligeledes frem af sværhedsgraden ved hver opgave. Jo lettere man har ved en opgave, desto større er sandsynligheden også for at man udfører den.

Som det indikeres ovenfor, sejler man med direkte kurs mod en klippevæg, hvis man tildeler forretningen ansvar for en lang række GDPR-opgaver, de ikke har en jordisk chance for at udføre.

Jeg er selv jurist, og det tog mig i hvert fald 6-12 måneder før jeg fandt mig til rette i de fleste af de emner, GDPR indeholder. Og det var som konsulent i en stor konsulentvirksomhed, hvor jeg arbejdede stort set konstant på at dygtiggøre mig og assistere mine kunder.

På trods heraf, har jeg set rigtig mange organisationer, som giver forretningen det fulde ansvar for at udarbejde artikel 30-fortegnelser, identificere databehandlere og/eller at lave risikovurderinger. Typisk får forretningen en indflyvning på et møde, der varer 60 minutter, og tildeles et dokument, hvor der står hvordan man fx udarbejder en artikel 30-fortegnelse. Herefter sendes spørgeskemaer ud via GDPR-tools eller excel.

Det første problem ved denne tilgang er, at forretningen – normalvis – ikke har en fornemmelse for hvordan man bærer sig ad. Hvad er en ”behandlingsaktivitet”? Hvad er ”kategorier af personoplysninger”? Hvad er en ”databehandler”? Hvornår er der sket en ”tredjelandsoverførsel”? Og hvilke ”tekniske foranstaltninger” har vi på plads for at sikre oplysningerne?

Kritikere vil sige, at man selvfølgelig bare kan stille intelligente spørgsmål som ikke bruger de svære GDPR-begreber, men som kommer med de rigtige svar. Men efter at have set denne teknik brugt i praksis igen og igen, kan jeg konstatere særligt tre svagheder:

  1. Der fremkommer store mangler i fortegnelsen og vigtige behandlingsaktiviteter, databehandlere, tredjelandsoverførsler, sikkerhedsmekanismer mv. bliver slet ikke kortlagt;
  2. Afdelinger, som er ens, men som opererer på tværs af landegrænser – fx hvis man har en HR-afdeling i Norge og en HR-afdeling i Danmark – ender typisk med fortegnelser, der er helt skæve, selvom de burde være meget ens. Afdelingen i Norge kan ende med 5 behandlingsaktiviteter og afdelingen i Danmark kan ende med 20. Hvordan forklarer man lige den?
  3. Compliance-medarbejderne, som skal supportere processen, bliver begravet i spørgsmål fra forretningen og skal bruge endeløse timer på at udrede alle de ufuldstændige svar, der bliver afgivet.

Desuden kan nævnes det paradoksale, at fx en fortegnelse netop udliciteres 100 % til forretningen fordi man ønsker at forankre ejerskabet for aktiviteterne hos de enkelte afdelinger. Men det har i praksis den modsatte effekt.

Selvom medarbejderne måtte give gode svar, fordi man har designet et meget intelligent spørgeskema, har de typisk meget lidt viden om hvad de gør, og hvorfor de gør det.  Det bliver en sur og lidt meningsløs opgave, som man formentlig ikke ser frem til at skulle genbesøge. Dette vil videre føre til, at motivationen og graden af ejerskab ift. andre GDPR-opgaver vil være dalende.

Man bør således ikke blot – som nævnt i første afsnit – trække så mange opgaver, man kan, væk fra forretningen. Man bør også sikre, at de opgaver som fortsat ligger hos forretningen, kan udføres på stort set egen hånd og giver mening for den enkelte.

I forhold til en art. 30-fortegnelse, kan man således fx indkalde repræsentanter fra de mest risikable afdelinger, og påbegynde en kortlægning hvor repræsentanterne bidrager med information mens man selv laver det hårde arbejde foran dem. Man kan i den proces illustrere for dem hvad man finder særligt vigtigt og hvorfor, og bede dem tage ejerskab ift. at underrette hvis der skulle komme nye leverandører eller initiativer, som vedrører persondata.

Dette kan kombineres med kontroller, hvorved forretningen løbende skal sikre, at de IT-systemer og leverandører, der er beskrevet i fortegnelsen fortsat er retvisende mens man selv løbende tager stilling til de komplekse områder som fx behandlingshjemmel, tredjelandsoverførsler mv. På den måde sikrer man, at forretningen løbende tager stilling til de mest simple ting i fortegnelsen, at fortegnelsen løbende opdateres, og at opmærksomheden omkring GDPR bibeholdes. 

3. Interesse

En af hovedårsagerne til, at det er svært at sikre ejerskab og generel ”buy-in” i forhold til GDPR er, at det er svært for mange at forstå hvorfor det er vigtigt at beskytte folks personoplysninger. Det kan virke formålsløst at skulle beskytte oplysninger om folks navn, e-mail, seksualitet og politiske holdninger når en lang række borgere velvilligt deler disse oplysninger i fx forretningssammenhænge, på sociale medier og i Tv-programmer, og når det er uklart hvordan folks oplysninger kan misbruges.

Og når formålet er uklart, påvirkes interessen for området selvfølgelig i en negativ retning.

Derfor er en god taktik altid at blive så konkret som muligt, når man har kontakt til interessenter i forretningen, som skal tage ejerskab i forhold til GDPR-opgaver. Forbered gerne eksempler på hvad der kan gå galt, hvis de pågældende opgaver ikke udføres i tilstrækkelig grad og giv ligeledes interessenterne en kort indflyvning i, hvordan man arbejder med risici (sandsynlighed, konsekvens mv.).

Generelt har min erfaring vist, at emner vedrørende cyberangreb er mere interessante for folk end de mere juridiske aspekter af GDPR. Jeg holdt engang et foredrag for en række forskere, som havde svært ved at holde sig vågne til et 8.30-møde hvor jeg startede med at forklare om formålsbegrænsning, mens stort set hele salen spærrede øjnene op da jeg forklarede om phishing-angreb, Man-in-the-middle-attacks osv.

Du kan derfor med fordel sætte fokus på beskyttelse mod angreb, når du skal sikre ejerskab. Hvis interessenter eksempelvis skal kontakte dig eller dit team når der skal indkøbes nyt software, kan du begrunde det med, at usikre tredjeparter kan være en direkte vej for hackere ind til organisationens servere med personoplysninger, hvilket man fx så i ”Equifax”-bruddet fra 2017, hvor mere end 147 millioner Amerikaneres oplysninger blev kompromitteret.

Hvis interessenter skal holde en oversigt over IT-systemer ved lige ifm. en artikel 30-fortegnelse, kan du begrunde det med, at man er nødt til at kunne kortlægge de mest kritiske systemer, for at sikre dem mod hacker-angreb. Og hvis HR-afdelingen skal sørge for hurtigt at registrere hvilke personer, der er blevet opsagt, kan du begrunde det med, at det tidligere er set at utilfredse medarbejdere kan bruge deres adgange til at påføre store skader ved fx at slette forretningskritisk data, personoplysninger osv.

Pointen er, at helt konkrete – og gerne historiske – eksempler på hvad der kan gå galt, hvis de pågældende opgaver ikke bliver udført, vil forøge graden af ejerskab hos den enkelte. 

4. Indflydelse

Graden af indflydelse er et af de mest effektive elementer, man kan gøre brug af, for at forøge den samlede grad af ejerskab, og det gælder ikke kun i forhold til GDPR-programmer.

Når folk selv kommer med en idé eller har det overordnede ansvar for at sætte en retning, vil de være langt mere tilbøjelige til at følge initiativerne til dørs. Omvendt vil man typisk opleve modvillighed, hvis nøjagtig den samme idé præsenteres på en ”vi synes du skal gøre det her”-måde.

Det er et meget spændende psykologisk fænomen, og jeg har gentagne gange set det folde sig ud i min egen dagligdag. Hvis jeg præsenterer en forretningsidé til en ven, vil vedkommendes instinktive reaktion være, at forklare hvorfor idéen ikke kan virke i praksis. Men hvis jeg starter helt fra bunden og lader vedkommende selv komme frem til den samme forretningsidé ved at stille de spørgsmål, der leder vedkommende hen til idéen, vil vi ikke længere sidde og drøfte udfordringer, men derimod alle de gode ting idéen vil kunne bidrage med og hvordan denne glimrende idé kan videreudvikles.

Der er således en meget skarp linje imellem initiativer/idéer, som kommer fra personer selv, og initiativer/idéer, som kommer fra andre. Det første kan medføre en grad af ejerskab, som gør, at personer nærmest ikke kan trækkes væk fra en idé igen, mens det andet kan medføre, at det bliver ekstremt svært at få en person til at tage ejerskab.

Denne viden kan bruges til at forøge graden af ejerskab i forretninger, herunder i GDPR-programmer. Helt konkret bør det ske ved, at man – når man ønsker at udlicitere visse opgaver – i et møde med den relevante interessent, præsenterer hvilke udfordringer man står over for, og beder om interessentens input til hvordan udfordringen bedst kan håndteres.

Hvis man eksempelvis skal have en person i en afdeling til at administrere en artikel 30-fortegnelse, kan man sige noget så simpelt som: ”Vi er pt. ved at undersøge om det vil give mening med en funktion i din afdeling, som et par gange om året blot skal sikre, at de IT-systemer og leverandører I bruger stadig er retvisende og indrapportere til os hvis der er ændringer eller brug for hjælp. I har vistnok en del systemer, så vi er ikke helt sikre på at modellen vil fungere og vil egentlig bare høre dit syn på om det vil kunne lade sig gøre eller om der er andre løsninger, der er bedre.

Typisk vil man herefter få en positiv respons i form af enten konkret buy-in til idéen eller konkrete løsningsforslag. I det specifikke eksempel er der ikke så mange alternativer (nogle skal jo varetage fortegnelsen), og man vil herefter dykke ned i hvem ansvaret konkret kunne pålægges. Dette er et meget positivt tegn.

Hvis man omvendt præsenterer det samme initiativ som: ”Vi har fastsat en model, hvor repræsentanter fra bl.a. jeres afdeling hvert år skal kortlægge IT-systemer og leverandører, og nu vil vi bare gerne høre hvem der kommer til at varetage den opgave hos jer”, vil man instinktivt møde pushback til modellen og derfor potentielt også andre GDPR-initiativer.

Det kan godt være, at topledelsen har beordret, at den model man har udtænkt skal implementeres, men man har fejlet i forhold til at sikre sig en vigtig allieret, som kan vise sig gavnlig på længere sigt.

Samme teknik bør anvendes på alle andre områder, hvor der er behov for ejerskab. Dette gælder eksempelvis ift. risikovurderinger: ”Hvordan mener du, at denne risiko bedst kan håndteres? Vi har umiddelbart tænkt noget i denne retning, men vil meget gerne høre dit input.”

5. Tone from the top

Foruden de fire ovenstående elementer, er ejerskab ligeledes drevet af ”tone from the top”, hvilket med andre ord betyder, at topledelsen skal udstikke en retning og udtrykke et klart behov for GDPR-compliance i organisationen.

Typisk vil det ikke give meget værdi, at topledelsen udelukkende har forpligtet sig til GDPR-compliance via udtalelser i årsrapporter eller ved at have underskrevet en politik, som reelt ikke efterleves i forretningen.

En effektiv implementering karakteriseres derimod ved, at topledelsen løbende gøres bekendt med – og forholder sig til – de risici, der eksisterer og som potentielt kan have materialiseret sig, og at den retning, der sættes af topledelsen, efterleves af de personer, som er operationelt involveret i de initiativer, der søsættes.

For at man kan nå til det punkt, skal topledelsen derfor først og fremmest købe ind på det GDPR-program, man ønsker at iværksætte, og herefter skal der opsættes konkrete systemer, som sørger for løbende orientering omkring især risici og incidents, herunder databrud.

For at sikre behørig buy-in, bør man se på hvilke konkrete fordele, GDPR bidrager med til ens organisation. Selvom der er en række fordele for enhver organisation, er det typisk ikke en nem øvelse, fordi GDPR som udgangspunkt ikke giver megen operationel værdi, og fordi man arbejder på at mitigere risici, som typisk ikke vil have materialiseret sig i organisationen endnu.

Er man imidlertid en databehandler, som servicerer kunder med et højt compliance-ambitionsniveau (som fx hospitaler, forsikringsselskaber mv.), bliver øvelsen lettere.

En række af de mere generelle fordele man kan nævne, kan imidlertid være:

  • Højnet grad af digital tillid blandt kunder, medarbejdere og andre vigtige interessenter
  • Forøgelse af det juridiske compliance-niveau, herunder mitigering af bøde-risici
  • Forøgelse af datasikkerheden, herunder mitigering af risikoen for databrud mv.
  • Bedre overblik over processer, IT-systemer og tredjeparter
  • Og hvis man er i gang med en omfattende digitaliseringsstrategi: Muligheden for at forankre GDPR i udviklingsprocesserne så tidligt som muligt medfører, at der ikke bliver behov for et omkostningstungt tilbageløb, når man i fremtiden beslutter at der skal være 100 % styr på GDPR og cybersikkerhed. Jo tidligere, jo bedre så at sige.

Hvis topledelsen på baggrund af ens argumentation beslutter, at GDPR-modenheden skal forøges betragteligt, er det som sagt centralt at der i implementeringsprocessen opsættes systemer/processer, som løbende viser forretningen, at ledelsen har fokus på området og at GDPR-aktiviteterne er vigtige og skal prioriteres.

Man bør derfor definere i fx en risikopolitik/procedure, hvordan og hvornår hvilke risici skal præsenteres for topledelsen, og bør sikre at visse risici kun kan accepteres efter godkendelse fra topledelsen. Man bør desuden sikre, at medlemmer af topledelsen gøres overordnet ansvarlige for de risici, der eksisterer inden for vedkommendes ressortområde, om end det frarådes at disse løbende skal tage konkret stilling til om man ønsker at mitigere, acceptere, overføre eller afværge risici. Dette bør gøres af folk længere nede i kæden, som dog bør sikre løbende orientering heraf.

Den løbende orientering gennem risici og kontroller vil sikre, at fokus på området bevares og at både forretningen og topledelsen løbende uddannes i de mest kritiske områder af GDPR.

Man vil have gjort et godt stykke arbejde på dette område, hvis Directors, projektledere og andre mellemledere i praksis husker deres team på, at de skal være opmærksomme på GDPR når visse initiativer skal søsættes. Der er med andre ord etableret et solidt ejerskab på et operationelt niveau gennem retningslinjer udstukket fra toppen.