Du kan ikke håndtere GDPR uden at have dine medarbejdere med ombord.
GDPR træning har til formål at øge kompetencerne og opmærksomheden om GDPR i din virksomhed, da den er afhængig af at alle ansatte har styr på GDPR.
GDPR-reglerne om træning
Du skal træne dine kollegaer i virksomhedens efterlevelse af GDPR, så din arbejdsplads kan efter GDPR-reglerne:
- Artikel 32 kræver, at medarbejdere udelukkende behandler personoplysninger efter instruks.
- Artikel 24 kræver, at virksomheder indfører passende organisatoriske foranstaltninger, herunder databeskyttelsespolitikker, hvilket medarbejderne bør uddannes i.
Hvorfor uddanne de ansatte i GDPR?
Du kan have sikre systemer, men hvis dine ansatte bruger systemerne usikkert, så nytter det intet med et smart system. Spar pengene på IT, og brug krudtet på dine ansatte.
Du bør sikre dig, at dine ansatte kender til GDPR. Faktisk bør de uddannes i GDPR, og du kan selv give dem denne uddannelse.
Du skal sikre dig, at dine ansatte kender kundernes rettigheder, fordi med GDPR har kunderne nogle rettigheder.
Du skal også sikre dig, at dine ansatte behandler kundernes oplysninger ordentligt. Det vil derfor være en god idé at uddanne dine ansatte i hvordan at jeres kundeoplysninger behandles fx i..
- Mails
- Mobiltelefonen (opkald, sms’er, apps,..)
- PC
- USB
- Kundesystemer
- Økonomisystemer
- Mapper i skabe
- Hjemmeside
Du kan sikre dig, at dine medarbejdere efterlever reglerne ved at anvende en eller flere af nedenstående tilgange til virksomhedens træning.
Afgørelse fra Datatilsynet
I en afgørelse fra Datatilsynet blev det vurderet, at en virksomhed ikke havde tilstrækkelige interne procedurer og instrukser til medarbejderne, eller at de ikke var tilstrækkeligt bekendt med disse.
Datatilsynet vurderede, at der ikke var tilstrækkelig uddannelse og træning af medarbejderne i databeskyttelse på trods af, at virksomheden havde GDPR-træning ved ansættelsesstart og på ad hoc basis. Datatilsynet vurderede dog, at dette ikke var tilstrækkeligt.
Hvilken træning bør udføres?
Du kan opdele virksomhedens medarbejdere i forskellige kategorier efter hvilken viden, som de bør have om GDPR og databeskyttelse.
Ledelsen
Ledelsen bør have allround viden om reglerne, så den kan lede organisationen og træffe beslutninger om ressourceallokering til GDPR, da dette kræve meget af virksomheden. Ledelsen bør fx kende deres ansvar for GDPR, samt vide, at vi
GDPR-ansvarlige
Disse medarbejdere bør selvsagt have tilstrækkelig information til at lede virksomhedens GDPR-arbejde, samt vejlede de øvrige medarbejdere i databeskyttelse.
Administrative medarbejdere
HR-medarbejdere, IT-medarbejdere, kundeservice, logistikmedarbejdere, mv. behandler persondata, som en fast bestanddel af deres daglige arbejde. Derfor bør de kende til følgende:
- Hjemlen til at behandle personoplysninger
- Formålet med behandlingen af personoplysninger
- De registreredes rettigheder
- Virksomhedens krav til den specifikke behandling af personoplysninger, som medarbejderen foretager, herunder hvilke systemer der kan anvendes, samt sletteprocedurerne for behandlingen.
- De kan tilegne sig den tilstrækkelige viden efter behov, samt ved hvordan og hvornår, at de skal hive fat i deres GDPR-kontaktperson.
Ikke-administrative medarbejdere
Ikke-administrative medarbejdere behandler typisk ikke persondata i nævneværdigt omfang, og kan derfor nøjes med et minimalt vidensniveau. Det kan være tilstrækkeligt at de deltager i virksomhedens generelle awareness program om databeskyttelse, hvilket kan gennemføres med et Elearningsoftware.
Sådan uddanner du dine ansatte i GDPR
GDPR skal ind under neglene på dine ansatte, så GDPR ikke bare bliver en skrivebordsøvelse.
Ansattes ansvar
Dine medarbejdere vil tage ansvaret når de får det givet. Derfor kan du med fordel uddelegere ansvaret for virksomhedens opgaver til de ansatte, som er tættest på opgaverne.
Retningslinjer
Yes, retningslinjer er ikke så spændende for dine ansatte. Men uden retningslinjer er det svært at forklare hvad der er rigtigt og forkert.
Lav derfor en retningslinje for dine ansattes behandling af personoplysninger. Bed dem om at følge retningslinjerne, og følg op på deres erfaringer på et personalemøde.
Personalemøder
I holder formentlig personalemøder en gang imellem. Smid GDPR på dagsordenen rutinemæssigt, og tag jer en tilbagevendende snak om GDPR og jeres behandling af persondata. Det er en god og nem måde at signalere til alle medarbejdere, at GDPR er vigtigt for virksomheden.
GDPR kursus
Har virksomheden ikke selv ressourcerne internt til at påtage sig opgaven med at uddanne medarbejderne i GDPR, så kan I sende dem ud i byen til et GDPR kursus.
Fordelen herved er, at I får en professionel formidler af GDPR til kommunikere de komplekse regler.
GDPR awareness platform
Brug video til at skabe en god kultur omkring GDPR og IT-sikkerhed. Videoer går rent ind hos dine ansatte.
GDPR awareness videoer med forskellige sikkerhedsråd gør informationen let fordøjelig, så budskabet siver direkte ind.
Videoerne kan omhandle ransomware, principperne i GDPR (se også billedet), kunders rettigheder, gode råd til password, etc. Et godt forløb med GDPR awareness brænder sig fast på nethinden, og skaber gode diskussioner omkring informationssikkerhed i virksomheden.
Dokumentation
Du skal dokumentere virksomhedens træning af medarbejderne, så du kan efterleve kravet i artikel 5, stk. 2.
Du bør derfor føre en log af hvilken uddannelse, som medarbejderne har modtaget og tidspunktet herfor.
Det kan være en god idé at opsætte nogle faste rutiner for virksomheden:
- Alle nye medarbejdere modtager en basis træning om GDPR i virksomheden.
- Alle medarbejdergrupper har et tilbagevendende forløb afhængigt af deres behov. Se forrige afsnit.
- Samtlige medarbejdere deltager i et awareness træningsprogram fx via Elearning.
- Særlige medarbejdere eller medarbejdergrupper modtager ad hoc træning, hvis der indføres et nyt system, en ny proces, eller hvis en hændelse kræver øget fokus.
Opsummering
Du kommer ikke udenom, at dine medarbejdere bør kende til GDPR-reglerne. Der findes masser af hjælpemidler til at sikre et højere vidensniveau i din virksomhed fx Elearningsoftware, GDPR kurser, hjemmesider, mv.
Det kræver dog, at uddannelsen af dine medarbejdere organiseres, hvilket også vil gøre det lettere at dokumentere indsatsen som en organisatorisk foranstaltning.