Ledelsen ønsker at implementere et system, der overvåger dine kollegers tastetryk. Hovedbegrundelsen er IT-sikkerhed, men som en fin lille bivirkning vil det gøre virksomheden i stand til at overvåge, hvornår folk arbejder, og hvor effektive de er.
Som ansvarlig for databeskyttelse skal du udføre din magi. Men hvordan organiseres det bedst? Svaret er klart: Via DPIA-processen.
Forstå DPIA
Der er den igen – DPIA’ en. Det uundgåelige arbejde du skal udføre for at sikre, at jeres nye system er lovligt implementeret, og at I laver den risikovurdering, der skal til, når der er en potentiel høj risiko for den registrerede.
Du er sikkert stødt på den mange gange i dit job. Og hvis det er første gang, kan vi heldigvis vejlede dig. For hvad er formålet med en DPIA helt præcist, og hvad indebærer den?
Som at passe et blomsterbed
Det vigtigste at forstå er, at en DPIA ikke er en engangsopgave. Det er en proces, der kører sideløbende med brugen af jeres system. Jo tidligere I starter, jo lettere bliver det at styre.
"At styre systemer gennem en DPIA-proces er lidt som at passe et blomsterbed. Hvis det efterlades uden opsyn, vil nye typer ukrudt, græs og blomster dukke op. I organisationer er det marketing og HR, der kommer med nye og spændende måder at udnytte systemer og data på. Noget af det skal luges ud, mens noget kan blive. Jo før I kommer i gang, jo lettere er det at fjerne eller ændre,” siger Jacob Høedt Larsen, Public Relations & Public Affairs-specialist hos Wired Relations.
En DPIA består blandt andet af beskrivelser af, hvordan systemet behandler data, risikovurderinger samt vurderinger af, om behandlingen er nødvendig og proportional. Se vores 7 trin til en succesfuld implementering af nye systemer for en mere detaljeret indsigt i, hvad den indeholder. Kort sagt er en DPIA vellykket, når I har overvejet og håndteret databeskyttelsesrisici relateret til jeres nye system, før I implementerer det.
Hold styr på jeres Fortegnelser
Artikel 35 i GDPR fastslår, at en DPIA er nødvendig, når en behandling sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og friheder.
Vi foreslår dog, at I altid gennemgår DPIA-processen, når I implementerer et nyt system eller en ny proces – også når I ikke er forpligtet til det. Hvorfor? Fordi trinene sikrer, at jeres Fortegnelser og risikoarbejde altid er opdateret.
Nøglen er at starte tidligt og se det som en dynamisk proces. Samtidig er det vigtigt, at jeres DPIA altid er opdateret og vedligeholdt for at afspejle ændringer i brugen af systemet.
Den værdifulde proces
DPIA-processen kan være omfattende, da både virksomheden, IT afdelingen, DPO'en og de registrerede normalt skal involveres. Men det er umagen værd.
”Det er så meget nemmere at lave ændringer, før HR rent faktisk implementerer det nye system. Compliance bør ikke være organisationens nej-sigere. Vores opgave er at rådgive og hjælpe, så vi når forretningsmål på en lovlig måde. Derfor skal vi tidligt ind og forstå, hvad systemet laver, og hvad forretningen vil have ud af det,” siger Jacob Høedt Larsen.
Det kan få konsekvenser ikke at gennemføre en DPIA.
Noget der kunne have været undgået med en DPIA.
Denne sag er blot et eksempel, og konsekvenserne kan variere. Men at gennemføre DPIA-arbejdet bringer jer tættere på at skabe et sikkert datamiljø for jeres registrerede.
Er I klar til at komme i gang?
Få hjælp til at administrere jeres DPIA → Book et møde med os for at høre mere.
DPIA-processen er afgørende, når din organisation overvejer et nyt system eller en ny proces. Vi har lavet en online Masterclass i at mestre det. Du lærer, hvordan du sætter din organisation op til processen, hvordan du samarbejder med din organisation, og hvordan du effektivt udfører de enkelte trin.
Tilmeld dig den online Masterclass på engelsk her:
Masterclass I - Tirsdag d. 9. April: Diving into the steps to take
Masterclass II - Torsdag d. 25. April: Seuring buy-in and collaboration
