GDPR: 5 råd til god compliance-kommunikation

Christian Rydal Kirkebæk
Artikler
14. februar 2018
Hvad ville I gøre, hvis I kun havde 100 dage tilbage til at sikre, at alle virksomhedens medarbejdere levede op til reglerne i den nye persondataforordning (GDPR)? Hvad jeg ville gøre? Jeg ville sørge for, at kommunikationsafdelingen kom ind i kampen. Nu. Her er fem råd til hvordan.

Nedtællingen er begyndt. For fra 25. maj gælder de nye, skrappere regler i EU-persondataforordningen ’General Data Protection Regulation’ (GDPR). Lovgivningen sætter nye standarder for, hvordan myndigheder, organisationer og virksomheder skal behandle personlige data – og for sanktionerne, hvis man ikke formår at leve op til reglerne.

Ikke at det kan være gået nogens næse forbi. Forordningen har fået meget opmærksomhed; også i medierne, som retter stadig stærkere spotlys mod behandlingen af borgernes data, og hvor kritiske historier allerede har fyldt på forsiderne.

Tid til en slutspurt

Jeg oplever, at virksomhederne generelt er meget opmærksomme på de nye krav. Men også, at mange primært ser de kommende regler som et spørgsmål om jura eller it.

Det kan vise sig at blive et problem. For når GDPR træder i kraft om 100 dage, er det ikke kun en sag for Compliance, Legal eller IT. Det handler ikke kun om at opdatere virksomhedens politikker eller have styr på it-systemerne.

Nej, det drejer sig om, hvordan alle virksomhedens medarbejdere behandler personlige data. Fx om at de ikke har persondata liggende i deres mailbokse, medmindre ’der er et anerkendelsesværdigt, forretningsmæssigt formål’. Eller om at de ved, hvad de skal gøre, hvis der sker et datalæk, så myndighederne kan blive informeret inden for de 72 timer, lovgivningen kræver.

Med andre ord er der behov for en indsats for at sikre, at medarbejderne handler i overensstemmelse med reglerne. Derfor spiller kommunikationsafdelingen en helt central rolle. Hvis I ikke allerede har igangsat en intern kampagne, er det nu, I skal komme ud af starthullerne. Så kan I lige nå det i slutspurten.

Her er fem råd til, hvordan I kan opnå god compliance-kommunikation, og hvad I bør være særligt opmærksomme på i forhold til GDPR:

1. Insistér på at blive involveret

Hvis I står i den situation, at GDPR lige nu kun er et isoleret projekt hos jura- eller it-afdelingen, skal I insistere på at blive involveret i processen. Skal det lykkes at gøre virksomheden bare nogenlunde compliant til 25. maj, kræver det højst sandsynligt, at medarbejderne ændrer adfærd på en række områder. Derfor skal I med om bord. Så I med god intern kommunikation kan sikre forståelse og opbakning.

2. Få overblik over forandringerne

Næste skridt er, at I får styr på, hvilke forandringer medarbejderne kommer til at opleve, og hvordan de skal forandre deres egen adfærd. Hvad rammer alle? Og hvad er kun relevant for nogle afgrænsede afdelinger eller roller? Brug den indsigt til at planlægge jeres interne kampagne for de næste tre måneder. Og husk her, at I er nødt til at gå i gang med kommunikationen, selvom alle detaljer ikke er helt afklarede – det bliver de måske først i april eller maj, og det kan I ikke vente på.

3. Udnyt, at GDPR vedrører os alle sammen

Hvis jeres virksomhed er som de fleste andre, og – hånden på hjertet – det er den sandsynligvis, så er der én ting, medarbejderne hellere end alt andet vil lave, og det er deres arbejde. De er som udgangspunkt ikke særligt interesserede i at bruge deres sikkert sparsomme tid på at høre om compliance eller sætte sig ind i nye regler. Derfor er der en risiko for, at persondataforordningen bare bliver set som endnu et forstyrrende element, og det kan blokere for de ønskede adfærdsændringer.

Derfor er det vigtigt, at I får gjort de nye regler nærværende og relevante for alle medarbejderne. Det kan I gøre ved ikke kun at kommunikere til dem som medarbejdere – men som individer. Individer, som også har personlige data. Individer, som kan genkende følelsen af uigennemskuelighed og usikkerhed, når det gælder, hvem der får fingre i vores personlige data, og hvad de bruger dem til. Og dermed individer, som kan se det meningsfulde i en lovgivning, der forsøger at rette op på tingene ved at skabe større gennemsigtighed og sikkerhed.

4. Kommunikér proaktivt til jeres kunder

Ét er den interne kommunikation, noget andet den eksterne til jeres kunder. Men den bør I også tænke ind fra starten, så I sikrer konsistens i, hvad det er, I fortæller indadtil og udadtil. Hvis I har individer som kunder og ikke kun andre virksomheder, kan I lige så godt fortælle dem om de fordele, forordningen fører med sig. Vær proaktive og vis, at I har styr på sagerne ved at beskrive, hvordan de nu kan få bedre indsigt og overblik over deres personlige informationer hos jer.

5. Forbered jer på at blive testet

Allerede nu har behandlingen af personlige data en meget stor mediebevågenhed, og der vil ganske givet være en del journalister eller nysgerrige kunder, som vil prøve at teste myndigheders og virksomheders parathed til fx at kunne give de indsigter i deres data, lovgivningen kræver. Det bør I sikre jer, at I også er parate til. Hav styr på processerne og sørg for, at de relevante medarbejdere ved, hvad de skal gøre – og lav et beredskab, så I er klar til at svare på kritiske spørgsmål.

Christian Rydal Kirkebæk
Artikler
14. februar 2018