Skip to main content

Hvorfor man ikke bør stole på, at medarbejdere overholder GDPR

Medarbejdere (og folk generelt) er fantastiske! De er jeres mest værdifulde aktiv, og de driver jeres virksomhed fremad. Men hvis man er GDPR-ansvarlig, er de også den største hovedpine. Det er fordi de arbejder med indholdet af jeres virksomhed, og indholdet er kritisk i GDPR-sammenhæng. Og som GDPR-ansvarlig kan det være svært at overbevise dem om at gøre tingene anderledes. Dette skyldes ikke, at de ikke vil, men fordi de anser andre ting for vigtigere. Dette er især tilfældet med GDPR-overholdelse. Det er alles opgave, men tid er ikke altid en tilgængelig ressource.

Her er hvad der sker, hvis man blindt stoler på, at folk overholder GDPR:

  1. Håndtering af data er ikke særlig bruger- og menneskevenlig
  2. Folk er forskellige – og de ender med at gøre tingene anderledes
  3. Det er svært at ændre folks tankegang
  4. Det er besværligt at håndhæve folks GDPR-overholdelse
  5. Kultur spiser strategi til morgenmad – inklusive jeres GDPR-strategi
  6. Hvordan kan I udjævne GDPR-overholdelse og overgangen til GDPR-æraen?

 

1. Håndtering af data er ikke særligt bruger- og menneskevenligt

Alle data er ikke skabt lige – i hvert fald ikke når vi taler om GDPR. Personoplysninger findes i flere former og er opdelt i følsomhedskategorier. Og man skal kunne finde det hele. De er typisk spredt over det hele. Udover at ligge i jeres forretningsapplikationer og -software såsom Salesforce, SAP, Hubspot, E-conomic osv., er de tre øverste steder, hvor personlige data gemmes 1) e-mails og e-mail-servere, 2) computere og netværksdrev og 3) Enterprise Content Management Systems (ECM).

Strukturerede vs. ustrukturerede data

I modsætning til Salesforce og de andet software, der bruger en databaseopsætning der er prækonfigureret, karakteriseres andre systemer som ustrukturerede. Med en databasestruktur er data pænt organiseret af softwaren og holder styr på alle ændringer – det er dybest set meningen med eksistensen. Andre steder har man som person (og ens kollegaer) enekontrol over, hvordan I organiserer og administrerer disse data, altså hvordan I håndterer vedhæftede filer i e-mails, gemmer dokumenter – og sletter disse. Vi skelner derfor mellem de strukturerede data (databaser) og de ustrukturerede (e-mails og filer).

Et praktisk eksempel

For at illustrere forskellen, bruger vi et eksempel med en kunde, der udøver sin ret til at få adgang til de data, I som virksomhed har på dem. I eksemplet antager vi, at den pågældende kontakt er en kunde. I bruge en CRM-software som Salesforce, et ERP-system som E-conomic, Outlook (Exchange) som mailsystem og et delt netværksdrev (f.eks. et X-drev) som fillagring. I slår personen op i Salesforce og trækker en rapport, der viser alle data (korrespondance, produkter osv.). Så finder I den samme person i E-conomic, hvor I udtrækker alle fakturaer og andre data, der er registreret på vedkommende.

Nu kommer vi til den sjove del – hvordan finder I alle e-mails med den person? En enkelt medarbejder har ikke adgang til alle jeres postkasser, så medarbejderen skal bede kollagerne om at søge efter vedkommende. Det samme gælder jeres fælles netværksdrev. Når det er sket, samler I alle disse oplysninger i en e-mail og sender dem til den kunde, der forespørger.

Som man kan se, er der et par manuelle opgaver, som er tidskrævende. Risikoen er stor for, at man ikke ender med at finde alle personlige data – for hvordan kan man være sikker på, at alle personlige data, der er gemt i jeres tusindvis af mails og mapper, er placeret? Man har ærlig talt ikke nogen chance for at finde ud af, om alle jeres kolleger har søgt. Og hvad hvis I har flere anmodninger om adgang til emner?

 

2. Mennesker er forskellige – og de gør ting anderledes

Som en naturlig del af jeres GDPR-strategi implementerer I processer, procedurer og politikker for at overholde GDPR, og I forventer, at jeres virksomhed overholder dem. Med rette. Desværre har folk en tendens til at finde deres egen måde at gøre tingene på. Hvorfor? Dette er delen om at være “menneske” og udøve deres egen måde at tænke på. Selvom man skitserer specifikke måder at håndtere personlige data på og har obligatoriske procedurer på plads, kan I ikke kontrollere, hvordan hver enkelt person vil indrette deres daglige arbejdsrutine. Det betyder, at I ikke kun kan lægge ansvaret på jeres medarbejdere af overholde GPDR. De gør sandsynligvis deres bedste for at overholde det, men det er en del af den menneskelige natur at bruge autonomi eller finde forskellige måder at gøre tingene på.

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    3. Det er svært at ændre folks tankegang

    Det er vigtigt, at Folk forstår, hvad GDPR er, og hvordan man håndterer det. Vi har set virksomheder have omfattende workshops, interviews, seminarer, webinarer, quizzer – you name it. Fra starten forstår folk, hvad GDPR er, og hvordan de skal inkorporere det i deres daglige rutiner. Og for at være ærlig: vi har set dette dræbe mere end én organisation, før man overhovedet er gået i gang med faktisk at overholde GDPR.

    I begyndelsen vil I se, at alle er på samme side og ønsker at indarbejde compliance som en naturlig del af arbejdsdagen. Så flyver tiden. Folk begynder at glemme GDPR og alle de regler og processer, de skal overholde. Det er ikke frisk i deres erindring, og de har (endnu) ikke en GDPR-vane integreret i deres måde at arbejde på.

    Problemet kan forklares som, når man går til tandlægen: man får at vide, at man skal børste tænder bedre for at undgå huller. De kommende uger efter tandlægen børster man utrætteligt tænder, fordi man gerne vil undgå huller. Men efter et par uger falder man tilbage til de gamle vaner med at børste tænder. Det er svært at ændre dette mønster. Hvis folk undlader at integrere vanen med GDPR, vil man have svært ved at overholde kravene.

    Hvordan holder man GDPR frisk i folks hukommelse? Tilbage til den første observation i dette afsnit – for mange workshops, interviews, seminarer, webinarer, quizzer osv. kan dræbe den samlede indsats. Men man skal stadig gøre noget, og man kan ikke bare lade det være op til hver enkelt person i virksomheden. Det er en svær balance at finde.

     

    4. Det er besværligt at få medarbejdere til at overholde GDPR

    Hvis man kun stoler på, at folk følger politikker og procedurer, skal man sikre sig, at folk overholder dem på en kontinuerlig basis. Når det er sagt, bliver det en vigtig opgave at kontrollere, om hver person overholder disse politikker og procedurer. Kontrol kræver meget tid fra den GDPR-ansvarlige. Hvordan kontrollerer man, at alle ikke har personlige data i deres postkasse eller på deres computere? I har fortalt dem, at de ikke skal, men hvordan sikrer I jer egentlig, at de ikke gør det? I kan ikke holde øje med enhver persons skulder.

     

    5. Kultur spiser strategi til morgenmad – inklusive jeres GDPR-strategi

    Lad os antage, at I har en god GDPR-strategi på plads. Alle politikker og processer er på plads, I har de nødvendige GDPR-skabeloner, og I har et godt overblik over, hvor I kan finde og udtrække persondata – det er måske ikke hurtigt, men det virker. At komme så langt har uden tvivl været en hård rejse, men I klarede det. Nu skal I få alle jeres anstrengelser til at hænge fast, så I ikke skal starte forfra om et par måneder.

    Så hvordan får I jeres GDPR-strategi til at holde? Det skal være socialt konstitueret i jeres virksomhedskultur. Hvis dette ikke sker, skal I højst sandsynligt gentage alle jeres anstrengelser igen. Tænk bare på tandlægeeksemplet fra før – man kunne få en god start, men motivationen dør med for mange anstrengelser. Kultur spiser strategi til morgenmad – især når det gælder en GDPR-strategi.

    Kultur handler om de vaner, folk har dannet, hvordan de træffer beslutninger, reagerer på udfordringer, hvordan de skelner mellem rigtigt og forkert. Så hvis jeres GDPR-strategi indebærer måder at gøre ting på en måde, der opfattes som mærkelig, uforståelig eller almindeligt dumt, vil I have svært ved at fastholde den. Vi har set eksempler, hvor folk blev bedt (som en del af GDPR-strategien) om manuelt at gå gennem deres e-mail-indbakke for at opdage og rapportere alle de fundne personlige data. Ja – du har læst manuelt… Uden at sige for meget, er dette IKKE en effektiv udnyttelse af ressourcer, og vi ville i hvert fald ikke være i stand til at håndhæve dette i vores virksomhed.

    I skal være opmærksom på, hvad I beder jeres medarbejdere om. Hvis det er nye vaner eller adfærd, så skal I forvente, at risikoen for at falde tilbage i gamle vaner vil være der. Vurder jeres kollegers vaner og adfærd, og sørg for, at jeres GDPR-initiativer er en del afstemt med den måde, folk allerede gør tingene på – eller sørg for, at de kan se rationalet bag at ændre dette. Så kommer I tættere på at inkludere GDPR i jeres virksomhedskultur.

     

    Hvordan kan man gøre det lettere for jeres medarbejdere at overholde GDPR?

    Opsummering af hvorfor det kan være besværligt at stole på folk i forbindelse med GDPR er:

    • Folk er ansvarlige for at håndtere personlige data, der er ustrukturerede
    • De fleste vil finde deres egen måde at fortolke regler og processer på
    • Vi er alle vanevæsener, og GDPR er langt nede på vaneprioriteringslisten, hvilket forårsager uagtsomhed
    • At kontrollere, at folk overholder GDPR, tager meget tid
    • Undladelse at opbygge GDPR-vaner i jeres virksomhedskultur vil hindre jer i at være compliant

    Den ene tjeneste, produkt eller software, der skulle løse alle disse udfordringer, eksisterer ikke. Og lad ikke nogen overbevise jer om andet. Det, I bør fokusere på, er, hvordan I kan gøre det så nemt som muligt for jeres virksomhed at overholde GDPR – ikke 100%, men at identificere nøglerisici og gøre noget. En måde er at fjerne ansvaret for at få folk til manuelt at gå gennem deres lokationer, hvor data er ustrukturerede, da det pålægger flere opgaver i deres arbejdsrutine og fører til, at folk hader GDPR endnu mere. Forkort jeres interne regler og processer for at gøre dem let forståelige og fokusere på nøglerisici. Efterlad ikke for meget plads til individuel fortolkning.

    Giv folk smarte værktøjer i stedet for regler. Dette reducerer yderligere behovet for at kontrollere folk for at se, om de overholder GDPR.

    Sørg for, at de nye opgaver, der kræves af hver person, ikke er for fremmede i forhold til deres eksisterende opgaver eller vaner. Dette vil reducere tilbagefald til gamle vaner og øge chancerne for at implementere GDPR i jeres virksomhedskultur.

     

    Hvordan vi kan hjælpe jer

    DataMapper – Find jeres følsomme persondata →

    RequestManager – håndter følsomme persondata →

    ShareSimple – send og anmod om følsomme persondata →

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR