Politikker og procedurer skal være opdaterede, og følges
Det er vigtigt, at virksomheders politikker og procedurer er på plads, så de operationelle krav i GDPR overholdes, f.eks. hvordan virksomheder indsamler data, hvordan disse data behandles, hvordan de opbevares sikkert, og hvordan de slettes igen.
For at opretholde GDPR-compliance på et operationelt niveau skal virksomheder regelmæssigt gennemgå deres politikker og procedurer i overensstemmelse med de ændringer, der sker i organisationen, overvåge deres effektivitet og opdatere dem efter behov.
Teknologi står ikke stille
Informationssikkerhedslandskabet udvikler sig konstant. Da hackere løbende finder nye og sofistikerede måder at infiltrere informationssystemer på, er virkeligheden, at nutidens robuste sikkerhedsforanstaltninger ikke er tilstrækkelige til at bekæmpe morgendagens trusler.
Organisationer skal regelmæssigt evaluere og justere deres databeskyttelseskontroller for konstant at leve op til de krævede informationssikkerhedsstandarder. Virksomheder bør regelmæssigt foretage GDPR-vurderinger og teste deres forsvar for at reducere de eventuelle sikkerhedssårbarheder og cyberrisici, der måtte opstå.
Datastrømme ændres
GDPR kræver, at organisationer forstår alle deres datastrømme og sikrer, at behandlingen er i overensstemmelse med loven. Mange virksomheder har gennemført datamappingsøvelser til dette formål. Imidlertid står ingen virksomheder stille: Datastrømme og behandlingsaktiviteter ændres over tid. Hvis virksomheder ikke holder øje med disse ændringer, vil der uundgåeligt opstå uoverensstemmelser mellem kravene i GDPR og den reelle praksis.
Periodisk overvågning og gennemgang af datastrømme er nøglen til at overholde kravene i GDPR. Det giver virksomheder mulighed for at håndtere potentielle udfordringer og risici.
Overholdelse afhænger af medarbejderne
Nøglen til at sikre, at organisationen overholder databeskyttelsesforanstaltningerne, opnås bedst, hvis alle tager ansvar for databeskyttelse.
De fleste virksomheder har allerede givet deres ansatte en eller anden form for uddannelse i GDPR. Dog er et enkelt kursus utilstrækkeligt. Medarbejdere vil over tid højst sandsynligt glemme, hvad de har lært, ligesom der konstant kommer nye medarbejdere til. Regelmæssig træning og genopfriskning af kompetencer er derfor en nødvendighed.