Vælg det rigtige vurderingsværktøj for at finde ud af, hvor GDPR-kompatibel din organisation er.

Hvad er et vurderingsværktøj?

I sin simpleste form er et vurderingsværktøj en tjekliste, der viser, hvor meget du kan "krydse af" - og hvad du ellers skal gøre. Det hjælper dig ved at stille de rigtige spørgsmål og bør i sidste ende føre til en slags handlingsplan, der kan guide dig på din rejse mod GDPR-compliance.

Der findes en række vurderingsværktøjer på markedet, og den kvalitative forskel mellem dem afhænger hovedsageligt af, hvor omfattende og detaljerede de er. Risikoen ved vurderingsværktøjer, der ikke evaluerer aktiviteten som helhed på en detaljeret måde, er selvfølgelig, at en del overses.

Vurderingsværktøjer er ofte skabt til specifikke systemer, apps og programmer eller til forskellige enheder eller funktioner i en organisation. For eksempel kan man forbinde et IT-system til værktøjet, som så evaluerer, hvor compliant systemet er. Det er vigtigt ikke kun at vurdere IT-platformen og de tekniske funktioner, men også at sikre, at procedurer og processer bliver evalueret,

Den grundlæggende regel er, at du ikke kun kan tænke på teknologi - GDPR-compliance skal gennemsyre hele din organisation, ikke kun din IT-platform.

Evalueringsværktøj: skaber forudsætninger for at evaluere organisationen

Mange gange kan evalueringen være svær at fortolke - bare det at forstå de spørgsmål, som evalueringen er baseret på, kan være svært. Det kan skyldes generel uvidenhed om kravene i GDPR eller vage og alt for ambitiøse formuleringer i spørgsmålene.

For at kunne bruge dit vurderingsværktøj korrekt skal du som minimum have en grundlæggende viden om GDPR, og selvfølgelig viden om den organisation, du vurderer med værktøjet.

Hvis du arbejder i en stor organisation med mange afdelinger, er det vigtigt at arbejde tværfagligt og sikre, at alle parter, der håndterer persondata, er repræsenteret i evalueringsprocessen.

Evaluering alene er ikke nok

At få et klart billede af, hvad der skal gøres, er selvfølgelig et stort og vigtigt skridt i den rigtige retning, men det er vigtigt at huske, at bare fordi du ved, hvordan situationen er, har du stadig ikke løst nogen af problemerne. Alle de ting, du rent faktisk skal gøre for at blive compliant, er der stadig.

Som lægmand er det meget vanskeligt at evaluere et vurderingsværktøj og sammenligne det med andre muligheder - hvilket værktøj skal man vælge og hvorfor? Ud over de problemer, der opstår, hvis værktøjet er for systemspecifikt eller for generelt, giver indholdet af evalueringen kun et klarere billede af manglerne. Det giver dig ikke nogen konkret hjælp til, hvad du skal gøre for at løse dem. Sørg derfor for, at du vælger et værktøj, der også giver opfølgende forslag til, hvordan du kan afhjælpe manglerne.

Husk dette, når du vælger og bruger dit vurderingsværktøj:

• Hvor meget af din vurdering vil du selv foretage? Om du kan gøre det hele selv eller få hjælp udefra, afhænger ofte af kompleksiteten i din organisation.
• Sørg for, at den person, der udfører evalueringen, har grundlæggende viden om både organisationen og kravene i GDPR.
• Engager hele organisationen, og arbejd på tværs af funktioner.
• GDPR handler ikke kun om teknologi og IT - det gennemsyrer hele din virksomhed. Sørg for, at dit vurderingsværktøj ikke kun dækker specifikke dele af din virksomhed eller dine systemer og applikationer.
• Vælg et vurderingsværktøj, der giver konkrete forslag til, hvad man kan gøre for at afhjælpe manglerne.