Vi har talt med GDPR-ekspert Karen Lawrence og fået hendes indsigter i, hvordan man kommer foran med sit GDPR-arbejde, hvilket vi rigtig gerne vil dele med dig. Vores Interview med Karen kommer omkring:
- Værdien i at lave en GDPR Gap Analysis for at finde ud af, hvor forbedringerne i dit GDPR-arbejde skal være
- Tre ting alle virksomheder kan gøre, for at komme hurtigt i gang med GDPR
- Hvorfor du skal bruge Transfer Impact Assesment (TIA) for at holde international data transformation GDPR compliant
Hvem er Karen Lawrence?
Karen Lawrence er en selvudnævnt GDPR-nørd fra Stokholm og er informationssikkerhed og GDPR-professionel med over 30 års relevant erfaring. Karen arbejder som privat konsulent og hendes hverdag handler om at hjælpe organisationer til at opnå GDPR compliance. Hun har tidligere arbejdet som Data Protection Officer (DPO) for flere virksomheder, som GDPR-konsulent og hun har endda fungeret som ekspert for Europa kommissionen. Som prikken over I'et er hun også certificered Europrivacy Implementer. Kort sagt, hun ved, hvad hun taler om.
Vi er glade for muligheden for at lave et interview med Karen om GDPR-tendenser som vi ser i dag, og hvilke aktive steps organisationer kan tage i deres GDPR-arbejde. Vi håber du finder indsigterne hjælpsomme.
Lad os springe direkte til interviewet med Karen.
Introduktion – Hvem er Karen, og hvad er hendes arbejde med databeskyttelse?
Hvordan startede du med at arbejde i dette område, og hvordan ændrede dit arbejde sig efter GDPR kom?
"Jeg skrev en bog om privatliv, hvilket blev publiceret af British Computer Society i 2009.
Det var lidt før sin tid faktisk, men fordi jeg havde skrevet bogen, blev jeg lige pludselig “eksperten” og blev en del af flere databeskyttelses projekter, hvor jeg var konsulent med Hewlett-Packard. Mit første store databeskyttelses projekt var i 2009 og i telekommunikationssektoren. "
Hvad er det der gør, at du er passioneret omkring GDPR?
"Retten til privatliv er en menneskeret og erklæret som sådan i Menneskerettighedserklæringen (1948). GDPR forenkler det i en lovtekst. Det unikke ved GDPR i forhold til dens forgænger (dvs. Databeskyttelsesdirektivet) er, at den giver kontrol over persondata til den registrerede person og dermed gør den til den stærkeste privatlivslov globalt. "
At arbejde med GDPR: Udfordringer og løsninger
Hvad kan vi gøre, for at gøre GDPR til et emne som flere mennesker interesserer sig for?
"Desværre er det bøderne, der bliver uddelt, som vil få folk til at interessere sig, dvs. dem, der sidder på bestyrelses niveau i en organisation og træffer beslutninger om de ressourcer, der er tilgængelige for at sikre GDPR-overholdelse."
Hvad er den største misforståelse, som de fleste mennesker har om GDPR?
"At det er endnu en lov skabt for at gøre vores liv mere kompliceret, og at DPO-rollen skal besættes af en juridisk person."
Hvad er én ting, som GDPR-ansvarlige kan gøre for at rette denne misforståelse?
"En stor del af det, der kræves af GDPR, burde alligevel have været udført, f.eks. medarbejderuddannelse, tilstrækkelig sikkerhed, dokumentation af forretningsprocesser/databehandlingsflow, effektive kommunikationskanaler med kunder osv. Faktisk har en organisation ikke brug for en GDPR-ekspert (som mig) til en betydelig del af arbejdet.
Den bedste DPO (Data Protection Officer) jeg har arbejdet sammen med, var en meget erfaren projektleder. Hun kendte sin virksomhed (forsikring) indgående, fordi hun i over 30 år havde arbejdet i alle dele af virksomheden. "
Hvad er et eksempel på et GDPR-initiativ, du har set virke i virksomheder?
"En GDPR-gap-analyse, som identificerer, hvad der mangler sammen med en anbefaling om, hvad der skal gøres for at rette op på det. "
Hvad ser du som nogle af de største udfordringer ved at arbejde med GDPR/forblive compliant hvert år?
"Internationale overførsler er en stor udfordring, især når de involverer overførsler til lande, der ikke har en 'tilstrækkelighedserklæring.' Målet flytter sig hele tiden i forbindelse med overførsler til USA; Safe Harbor blev erklæret ugyldig, derefter Privacy Shield og nu er en ny aftale på vej...
Vi undrer os bare over, hvor længe dette vil vare ... Shrems er allerede ved at gøre sig klar til runde 3. "
Hvad er de 3 konkrete ting som virksomheder bør gøre for at kickstarte deres GDPR-arbejde?
"Hmm.. Det afhænger af situationen, men det fælles for dem, der intet har, er:
- Privatlivs awareness træning for alle medarbejdere og kontraktansatte
- Oprettelse af register over databehandlingsaktiviteter med den juridiske begrundelse for behandlingen
- Implementering af privatlivsmeddelelse og vurdering af behovet for cookies (samtykkebanner til cookies) på virksomhedens hjemmeside."
Er der specifikke ting som du ser virksomhederne forsømmer? Og, hvad skal de gøre for at gøre compliance områder nemmere?
"Rollen som DPO har ofte flere funktioner, f.eks. CISO som skaber en interessekonflikt. Hvordan dette er en konflikt, kan du læse om i denne her IAPP-artikel. Der har være en del sager, hvor en DPO-rolle har været kombineret med andre roller, hvilket har ført til bøder."
GDPR Implementering, regler og sager
Hvilke GDPR-sager eller regler tænker du fortæller mest om fremtiden af GDPR fortolkning?
"Der er ret mange sager. En interessant ting, der vakte min interesse for nylig, var en afgørelse om fortolkning af anonymiserede data. Anonymiserede data betragtes ikke som persondata i henhold til GDPR. Personoplysninger blev pseudonymiseret af den dataansvarlige, men 'anonymiseret', når de blev sendt til en underleverandør, så de kunne lave en analyse.
Fortolkningen af anonymiserede data har været uklar, og vil højst sandsynligt fortsætte med at være det i en periode. Men i dette tilfælde, fordi den unikke pseudonymiserede nøgle blev bibeholdt, blev det besluttet, at dataene var pseudonymiserede ikke anonymiserede, og de registrerede skulle have været informeret om denne databehandling. "
Du kan læse mere om sagen, SRV v EDPS her.
Internationale dataoverførsler er blevet mere komplicerede med GDPR. Hvad kan virksomheder gøre for at holde deres dataoverførsler compliant?
"Udfør en Transfer Impact Assessment (TIA) på alle personlige data, der overføres for at vurdere risiciene og afhjælpe i overensstemmelse hermed."
Udviklingen af nye AI-værktøjer har fået stor opmærksomhed i det sidste år. Hvilke forpligtelser har virksomheder til at sikre databeskyttelse med disse nye værktøjer?
"Udfør en databeskyttelseskonsekvensvurdering eller på engelsk data protection impact assessment (DPIA) af al højrisikodatabehandling, dvs. Udgør det en risiko for den fysiske persons rettigheder og friheder."
Mange organisationer bruger GDPR og andre love eller -rammer i deres databeskyttelsesarbejde (f.eks. CIS, ISO 27000 osv.). Hvad er fordelene ved at arbejde med en sikkerhedsramme som CIS?
"Artikel 40 i GDPR anbefaler brugen af Codes of Conduct, som er sikkerheds- og andre standarder, som kan bruges. Da det er internationalt godkendte compliance-rammer."
Opsummering: Karens råd og anbefalinger for at forblive opdateret på GDPR
Hvad er et råd, du vil give til virksomheder, der lige er begyndt med deres GDPR- og databeskyttelsesarbejde?
"Der er ofte en afstand mellem den juridiske funktion, forretning og IT. Det kan være nyttigt at hente en compliance-mand, der forbinder disse funktioner. Det er i bund og grund det, jeg gør mest i dag."
Hvilke ressourcer bruger du til at holde dig opdateret om alt vedrørende GDPR?
"IAPP.org, LinkedIn, tilsynsmyndighed for mit land osv."
Nogle anbefalinger af podcasts, nyhedsbreve osv.?
"International Association of Privacy Professionals har et globalt syn på privatlivslandskabet. The Daily Dashboard er et gratis nyhedsbrev."
Konklusion
Kæmpe tak til Karen for at dele sin tid og indsigt med os! Overholdelse af GDPR kan være vanskelig, med vage eller skiftende krav til internationale dataoverførsler, dataanonymisering og databehandling af AI-værktøjer.
Vi håber, at Karens handlingsrettede anbefalinger er nyttige i dit GDPR- og databeskyttelsesarbejde. For mere information dækker vi emner nævnt af Karen, såsom awareness træning, GDPR-bøder, DPO'ens rolle og mere i vores blog.