Nummer: 9

BEHOV FOR TJEKLISTE OG SKABELONER SOM DOKUMENTATION FOR COMPLIANCE

Mange virksomheder, der i praksis arbejder ambitiøst med databeskyttelse, bruger uforholdsmæssigt mange ressourcer, herunder store beløb til advokater, på at dokumentere deres indsats for stadig at være i tvivl om, hvorvidt dokumentationen er tilstrækkelig.

Regelforum anbefaler, at Datatilsynet i samarbejde med erhvervslivet udarbejder en afgrænset og letforståelig tjekliste over, hvilke dokumenter disse virksomheder bør have udfyldt for at efterleve GDPR, og at der vedlægges skabeloner til hvert dokumentationskrav. 

Dato:
22. juni 2020
Type af anbefaling:
National lovgivning
Tema:
GDPR
Ansvarlig ministerium:
Justitsministeriet
Status på anbefaling:
Følges

Som det er i dag, famler virksomheder i blinde og bruger mange interne ressourcer og store beløb på vejledning fra eksterne advokater om overholdelse af dokumentationskrav og udfyldelse af skabeloner, selvom de kun behandler almindelige persondata. Det betyder, at virksomheder som i praksis arbejder ambitiøst med databeskyttelse, bruger uforholdsmæssigt mange ressourcer på at dokumentere deres indsats for stadig at være i tvivl om, hvorvidt dokumentationen er tilstrækkelig. 
 
Virksomhederne savner et overblik over de dokumenter, som vil være tilstrækkelig dokumentation for at bevise, at de er GDPR-compliant. Det kan fx være i form af en generisk tjekliste, som vejleder mindre virksomheder i, hvad der bør være på plads for at leve op til reglerne. I forlængelse heraf er der brug for konkrete skabeloner til de dokumenter, som Datatilsynet forventer, at virksomhederne har udfyldt.
 
 

Anbefaling

Regelforum anbefaler, at Datatilsynet laver en udførlig tjekliste over de dokumenter, som mindre virksomheder forventes at have udfyldt om deres arbejde med databeskyttelse, og som virksomheden forventes at kunne fremvise ved et tilsyn.  

I forlængelse heraf anbefaler Regelforum, at Datatilsynet vedlægger en række skabeloner/templates over de relevante dokumenter med eksempler på, hvordan disse kan udfyldes på en måde, hvor informationsniveauet vurderes som tilstrækkeligt. Der kunne være forskellige eksempler for forskellige former for virksomheder, feks. en IT-start-up, en produktionsvirksomhed, en butik, osv.

Regelforum anbefaler, at både tjekliste og skabeloner udvikles i tæt samarbejde med virksomheder, der oplever udfordringerne i praksis, og at man i arbejdet har særligt fokus på at udvikle dokumenter, der er klart afgrænsede, tilgængelige og letlæselige. I forlængelse heraf bør alle tjeklister og skabeloner brugertestes af relevante virksomheder, inden de offentliggøres.
 
Nedenfor følger en liste med de skabeloner, som Regelforum særligt efterspørger, da virksomhederne mødes med krav om dokumentation herfor:

  • Data-mapping: Hvilke data virksomheden indsamler, og hvad disse anvendes til. 
  • Slette-politik: Hvordan og hvornår virksomheden sletter data.
  • Artikel 30 (”Record of processing activities”): Hvordan man efterlever det krav i GDPR-lovgivningen.
  • It-sikkerhedspolitik: Hvilke grundlæggende sikkerhedskrav stilles der, fx om brug af password, aflåsning af lokaler mv.
  • Risk & impact assessment: Beskrivelse af risici, konsekvensen heraf, sandsynligheden for at det sker, og hvordan virksomheden vil håndtere eventuelle brud på sikkerheden.
  • Privatlivspolitik: Både for behandling af interne HR-data og for bruger-oplysninger.
  • Privacy policy på Facebook: Hvordan virksomheder håndterer ejerskab over personfølsomme oplysninger, som udveksles på Facebook.

Regelforum anbefaler, at Datatilsynet for hver enkelt skabelon tager stilling til og vejleder i, om/i hvilke situationer de enkelte skabeloner er relevante for virksomheden at udfylde. 

De ovenfor beskrevne tjeklister og skabeloner vil hjælpe virksomheder til mere effektivt og målrettet at dokumentere deres arbejde med databeskyttelse og vil spare virksomhederne store beløb til advokatbistand. Derudover vil klarere forventningsafstemning minimere en stor del af den usikkerhed, som mange virksomheder oplever, og dermed bidrage til, at virksomhederne ikke overimplementerer reglerne, som det er oplevelsen, at mange netop gør i dag.

Potentiale

Anbefalingen er særlig relevant for mindre virksomheder, der behandler almindelige personoplysninger, og som i praksis gør en stor indsats for at sikre databeskyttelse uden at have ressourcer til en juridisk afdeling/ansat. Det kan både være tech-virksomheder, hvor data er en central del af forretningen, men problemstillingen er også relevant for andre typer af små og mellemstore virksomheder, der mangler klarhed over, hvornår virksomheden har tilstrækkelig dokumentation for, at man lever op til reglerne.
 
Nedenfor følger konkrete eksempler på de konsekvenser, som mindre/mellemstore virksomheder kan opleve som følge af den manglende klarhed over myndighedernes dokumentationskrav.
 
Unødvendigt høje udgifter til advokatbistand:

En virksomhed med en omsætning på 40 mio. kr./80 medarbejdere har brugt over 500.000 kr. på hjælp til dokumentation af virksomhedens arbejde med databeskyttelse. En betydelig del af dette beløb kunne virksomheden have sparet, hvis der havde været klare tjeklister og skabeloner stillet til rådighed fra myndighederne. Beløbet til dokumentation forekommer ikke proportionelt med den indsats, som virksomheden i øvrigt bruger på at efterleve GDPR, idet der også anvendes betydelige interne lønomkostninger herpå, et beløb der vurderes at være over 500.000 kr. årligt. 

Usikkerheden om hvornår virksomheden har dokumenteret sit arbejde med databeskyttelse godt nok, betyder i praksis, at eksterne advokathuse på begge sider af bordet kan stille store og uigennemsigtige krav i deres rådgivning, når virksomheden fx skal indgå samarbejds- eller investoraftaler med en anden part. 

Udfordringer med kontrol af databehandlere:

Det kræver store ressourcer at kontrollere sine databehandlere, når myndighederne ikke tydeligt vejleder om, hvordan virksomhederne forventes at gøre dette i praksis. En virksomhed har fx købt sig til hjælp fra en advokat, som har løst opgaven ved at sende en survey ud til relevante samarbejdspartnere. En sådan løsning koster ca. 3.000 kr. pr. databehandler og giver ikke nødvendigvis nogen merværdi, eftersom det er op til databehandleren, hvordan man vil besvare spørgsmålene. Det vil være både mere gennemsigtigt og mindre omkostningstungt for virksomheden at efterleve kravene, hvis der eksisterer en tjekliste fra Datatilsynet, som virksomheden i stedet kan anvende.  

Igangværende initiativer

Justitsministeren har i samråd den 7. februar givet udtryk for, at han anerkender behovet for tjeklister og skabeloner, som kan lette virksomhedernes arbejde med GDPR. Ministeren tilkendegav i den forbindelse, at man vil lave en evaluering af reglerne og vejledning herom.

Relevant regulering
Databeskyttelsesforordningen og vejledninger fra Datatilsynet til efterlevelse af reglerne.

Svar til Regelforum

Datatilsynet vil udarbejde materiale i lyset af anbefalingerne. Tilsynet vil i den forbindelse nærmere undersøge, i hvilket omfang tilsynet kan lave tjeklister og skabeloner for dokumentation for compliance for alle former for virksomheder, eller om der kan laves nogle mere generelle tjeklister og skabeloner, som kan favne bredt, ledsaget af en eller flere vejledninger.