Sådan dokumenterer du, at du overholder GDPR
GDPR stiller krav til, at du skal kunne dokumentere, at du overholder alle dele af GDPR.
Det kan lyde kryptisk, men du skal tænke det sådan, at hvis det ikke findes på skrift, så findes det ikke. Og vi ved, at dokumentationskravet har givet mange hovedbrud i danske virksomheder og organisationer, for hvor meget skal du dokumentere og hvordan gør du?
Det vil vi gerne hjælpe dig med, og derfor får du vores viden og bedste råd lige her.

Hvorfor er der et krav om dokumentation?
Kravet om dokumentation hænger sammen med kravet om ansvarlighed. Som dataansvarlig har du ansvar for at passe godt på de registreredes personoplysninger, og derfor skal du kunne dokumentere, at du tager det ansvar på dig.
Det er med andre ord ikke nok, at du tager GDPR alvorligt, og at du passer på de personoplysninger, som du behandler. Du skal også kunne vise via dokumentation, hvordan du tager det alvorligt, og hvad du har gjort.
Hvor meget skal du skrive for at opfylde kravet?
Der er ikke noget krav om, at du skal skrive lange notater for at opfylde dokumentationskravet. Få ord og sætninger kan i nogle tilfælde være rigeligt, mens du i andre tilfælde er nødt til at skrive et længere notat.
I nogle tilfælde kan en kopi af et referat, en dagsorden eller et andet skriftligt dokument også være tilstrækkeligt, hvis dette dokument kan tjene til at dokumentere dit GDPR-arbejde. Det kan f.eks. være en log over, hvornår du har udsendt awarenes-træning til dine medarbejdere, og hvor mange medarbejdere der har gennemført det udsendte kursus. Her behøver du som udgangspunkt ikke at dokumentere yderligere.
Men hvis der f.eks. er medarbejdere, du har fritaget for kurset, så bør du lave en note, hvor du kort beskriver, hvorfor du har fritaget disse medarbejdere.
Hvad skal du dokumentere?
Det er ikke muligt at udarbejde en liste over, hvad du præcist skal dokumentere. Men du kan tage udgangspunkt i, at du skal dokumentere:
- Dine overvejelser
- Dine handlinger
- Dine interne kontroller
Derudover skal du overveje spørgsmål som: Hvorfor besluttede du det, du gjorde? Hvorfor handlede du på den måde, du gjorde? Og hvordan kan vi være sikre på, at du gør det, du siger, at du vil gøre? Det er nemlig svarene på den type af spørgsmål, som du skal beskrive for at overholde dokumentationskravet i GDPR.
Herunder får du eksempler på, hvordan du dokumenterer dine overvejelser, handlinger og interne kontroller.
Eksempler på, hvordan du dokumenterer
Dokumentationskravet kan give din virksomhed ekstra fordele
Dokumentationskravet kan for mange være en uoverskuelig opgave at få taget hul på, men den kan vise sig at give din virksomhed en række fordele.
Med dokumentationsarbejdet bliver du tvunget til at forklare, hvorfor du gør, som du gør, og hvilke overvejelser der ligger bag. Det kan du bruge aktivt til at sikre, at du får gennemført det GDPR-arbejde, der er nødvendigt for at overholde kravene.
Samtidig kan du også bruge det til løbende at få øje på, om det nu også er de rigtige og mest hensigtsmæssige beslutninger, der bliver truffet i organisationen. Det vil I mange tilfælde betyde, at du undgår dobbeltarbejde eller er nødt til at starte forfra på en opgave, fordi det er uklart, hvorfor en opgave blev løst, som den gjorde.
Lad HjulmandKaptains specialister i GDPR hjælpe dig
Har du spørgsmål til hvordan du overholder dokumentationskravet i praksis i din virksomhed, så kontakt endelig vores specialister i GDPR for en uforpligtende snak - vi vil gerne hjælpe dig videre.