Datatilsynet har lukket deres tilsynsenhed og fordelt den ud på hele organisationen. Istedet har de åbnet en ny enhed, der skal hjælpe små- og mellemstore virksomheder med GDPR. Det er alt sammen et led i deres nye strategiske grundlag. Men hvorfor har de gjort dette, og hvad betyder det i praksis for din virksomhed?
Datatilsynet omstrukturerer grundet ny strategi
I slutningen af september præsenterede Datatilsynet deres nye strategiske grundlag. Grundlaget indeholder blandt andet deres vision, som lyder:
”Ansvarlig anvendelse af borgernes data i et digitaliseret samfund.”
Og hvad skal det så betyde? Ofte ender visioner og strategier som skrivebordsøvelser, der ikke får den store effekt i praksis. Men sammen med det nye strategiske grundlag præsenterede Datatilsynet også en ny organisering af deres organisation. Den nye organisering skal hjælpe dem med at føre strategien ud i virkeligheden.
Datatilsynet lukker tilsynsenhed
Det betyder blandt andet, at den enhed, som før stod for tilsyn, bliver fordelt rundt i hele organisationen. Dermed bliver tilsynsarbejdet fordelt ud på flere afdelinger og personer. Det betyder selvfølgelig ikke, at tilsynene stopper, men blot at arbejdsfordelingen internt hos Datatilsynet er blevet ændret.
Hvad dette får af konsekvenser i praksis er svært at forudsige. Det kan tyde på, at tilsyn går fra at være en primær aktivitet til at blive en understøttende aktivitet på tværs af Datatilsynets andre enheder. Der er en risiko for, at tilsynsarbejdet bliver mindre målrettet, da det muligvis ikke længere bliver en første prioritet. Når det er sagt, så er det svært at gøre sig klog på, hvordan tilsynsudfordringen bliver løst af Datatilsynet. Vi må vente og se, hvad det får af konsekvenser, at tilsynsenheden bliver spredt ud over hele organisationen.
Ny enhed med fokus på vejledning kommer efter anbefaling
I stedet for tilsynsenheden er der til gengæld blevet plads til en ny enhed, der har særligt fokus på at vejlede virksomheder, borgere og myndigheder i GDPR. Målet er altså, at virksomheder skal have mulighed for at få mere konkret hjælp til deres udfordringer hos Datatilsynet. GDPR har kostet mange timer i mange organisationer, da det har medført et hav af nye opgaver og processer. Derfor har det uafhængige organ, Erhvervslivets EU og Regelforum, som rådgiver regeringen, præsenteret 19 anbefalinger. Anbefalingerne har til formål at sætte fokus på regler, der kan forsimples, således at virksomheder kan bruge mere tid på at drive deres forretning og mindre tid på at efterleve regler. I anbefalingerne finder man tre potentielle tiltag til at forsimple GDPR-reglerne:
-
Der oprettes et GDPR-kontaktudvalg
-
GDPR-anbefalinger gøres branchespecifikke
-
Der bliver udarbejdet et koncept for, hvordan små- og mellemstore virksomhed kan efterleve GDPR
Hvad betyder de tre tiltag egentlig?
Det første tiltag, GDPR-kontaktudvalget, betyder, at der skal være et udvalg, man let kan kontakte, hvis man står med en udfordring eller problemstilling relateret til GDPR.
Tiltag nummer to er branchespecifikke GDPR-anbefalinger. Dette tiltag kan forhåbentligt gøre det lettere at implementere konkrete tiltag i ens organisation, da branchespecifikke anbefalinger må forventes at være mere praksisnært end mere generelle anbefalinger.
Det tredje tiltag, konceptet, er mere vagt formuleret. Men konceptet skal blandt andet have til formål at samle vejledninger og skabeloner i samlede pakker. Målet med dette er at gøre det lettere for små- og mellemstore virksomheder at komme i gang med GDPR-arbejdet, da de hurtigere kan finde relevante vejledninger til specifikke situationer. Det er nærtliggende at tro, at tiltag to og tre kommer til at hænge tæt sammen.
Alle tre tiltag bliver et fokus
Regeringen bekræfter, at Datatilsynet vil arbejde på disse tre tiltag. Datatilsynet har ikke nævnt, at det nye fokus på de tre tiltag er årsagen til deres reorganisering, men den nye enhed stemmer godt overens med at opnå dem. Den nye enhed kommer i høj grad til at fungere som et centralt sted, hvor man kan opsøge hjælp og drøfte problemstillinger med Datatilsynet.
Ikke de store synlige ændringer endnu
Her halvanden måned efter nyheden om omstruktureringen og den nye strategi, kan det være svært at spotte de store ændringer i praksis. Det er dog klart, at det tager tid at gennemføre en reorganisering og udvikle et helt koncept. Imens vi venter, har Datatilsynet heldigvis stadig en masse hjælp, man kan dykke ned i, hvis man står over for udfordringer i ens organisation. Man kan finde vejledninger eller ringe til dem, hvis man står og har brug for sparring.
Vi kan håbe, at det større fokus på vejledninger udmønter sig i konkrete tiltag, som vi kan få gavn af rundt omkring i de danske virksomheder. GDPR skal helst holdes så simpelt som muligt, så vi kan bruge tiden på sjovere ting. Vi har i CyberPilot selv forsøgt at bidrage til forståelsen af GDPR gennem vores podcast og blogindlæg som f.eks. ”Hvad er sammenhængen mellem ISO27001 og GDPR”.
Vores forventning er, at Datatilsynets nuværende vejledninger bliver optimeret, så det bliver lettere at overføre vejledningerne til praksis i jeres organisationer. Herudover må vi forvente pakker af skabeloner og vejledninger, som målretter sig mod specifikke brancher, der kan downloades og bruges i de relevante brancher. Vi må også forvente, at disse skabeloner og vejledninger målrettes mod små- og mellemstore virksomheder, der ikke har samme ressourcer til GDPR, som de største virksomheder har. Hvor præcist og branchespecifikke vejledninger og skabeloner kan blive, er dog svært at forudsige. Det kræver uden tvivl ressourcer at specificere vejledninger til specifikke brancher. Tiden må vise, hvordan tiltagene rent faktisk udspiller sig. Indtil da må vi fortsætte GDPR-arbejdet som hidtil.
