Kan du dokumentere, at du overholder GDPR?

Reglen om dokumentation fremgår af artikel 5, stk. 2, som kort lyder: ”Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (ansvarlighed)”.

Det er i stk. 1, at de grundlæggende principper fremgår.

Få styr på de grundlæggende principper i GDPR

Dokumentationskravet i artikel 5, stk. 2, har givet anledning til hovedbrud i mange virksomheder og organisationer. For hvor meget skal du dokumentere, og hvordan gør du?

Hvor meget skal du skrive for at opfylde kravet?

Der er ikke noget krav om, at du skal skrive lange notater for at opfylde dokumentationskravet. Få ord og sætninger kan i nogle tilfælde være rigeligt, mens du i andre tilfælde er nødt til at skrive et længere notat. 

I nogle tilfælde kan en kopi af et referat, en dagsorden eller et andet skriftligt dokument også være tilstrækkelig, hvis dokumentet bidrager til at dokumentere dit GDPR-arbejde. Det kan f.eks. være en log over, hvornår du har udsendt awareness-træning til dine medarbejdere, og hvor mange medarbejdere der har gennemført det udsendte kursus. 

Her behøver du som udgangspunkt ikke at dokumentere yderligere. Men hvis der f.eks. er medarbejdere, du har fritaget for kurset, så kan du lave en note, hvor du kort beskriver, hvorfor du har fritaget dem.

Hvad skal du dokumentere?

Det er ikke muligt at lave en liste over, hvad du præcis skal dokumentere. Du kan dog tage udgangspunkt i, at du skal dokumentere følgende:

•    Dine overvejelser
•    Dine handlinger
•    Dine interne kontroller

Hvorfor besluttede du det, du gjorde? Hvorfor handlede du på den måde, du gjorde? Og hvordan kan vi være sikre på, at du gør det, du siger, at du vil gøre?

Det er svarene på den type spørgsmål, som du skal beskrive.

De overvejelser, som du dokumenterer, kan f.eks. være dem, du gør dig i forbindelse med en risikovurdering. Hvorfor mener du, at din sikkerhedsforanstaltning er tilstrækkelig? Hvad har du overvejet for og imod? Og hvad er så årsagen til, at du endte med det valgte? 

Dine handlinger kan f.eks. være dokumentation for, hvordan du har håndteret et brud på persondatasikkerheden. Hvad undersøgte du for at klarlægge bruddets omstændigheder? Hvad har du konkret gjort, for at bruddet ikke sker igen? 

Dokumentation for dine interne kontroller viser, at du faktisk gør, som du siger, at du vil gøre. Hvis du f.eks. har truffet beslutninger om, hvordan personoplysninger skal håndteres i din virksomhed, eller du har lavet en politik for, hvilke sikkerhedskrav en it-leverandør skal opfylde for at levere til din virksomhed, så kan en intern kontrol vise, at politikken ikke blot er ord på et stykke papir – men at den også efterleves i praksis.

Udnyt dit arbejde bedre – brug din dokumentation til mere

Dokumentationskravet kan være en svær opgave at få taget hul på, men når du er kommet i mål med den, har den flere fordele for dig end at medvirke til at overholde reglerne. 

Med dokumentationsarbejdet har du brugt tid på at forklare, hvorfor du gør, som du gør, og hvilke overvejelser der ligger bag. Det kan du naturligvis bruge aktivt til at sikre, at du faktisk får gennemført det GDPR-arbejde, der er nødvendigt for at overholde kravene. 

Den ekstra gevinst for din virksomhed, som du kan hente ved at have din dokumentation på plads, er som et redskab til at holde virksomheden ”i ørerne”, så det er de rigtige og mest hensigtsmæssige beslutninger, der bliver truffet. 

Det vil I mange tilfælde også betyde, at du undgår dobbeltarbejde eller at starte forfra på en opgave, fordi det er uklart, hvorfor og hvordan en opgave blev løst.

Har du spørgsmål eller brug for rådgivning?

Er du ved at udarbejde din dokumentation til GDPR, eller er du i tvivl om, hvordan den skal udformes i din virksomhed eller organisation, så er du altid velkommen til at kontakte os. Vi er specialister i databeskyttelse og hjælper gerne med at vurdere, hvordan dokumentationen bør se ud i dit tilfælde.