Ledelseskontrol

I forbindelse med vores tilsynsarbejde kan vi se, at GDPR-ledelseskontroller ofte ikke er tilstrækkeligt dokumenteret. Derfor er det usikkert, hvad kontrollen har bestået af. 

Vi udsender derfor denne nyhed, der gerne bør gøre tingene lidt mere tydelige.

Der er flere grunde til at sikre, at beskrivelser af gennemførte GDPR-kontroller er gode og informative. Her vil vi nævne:

• At det kan påvises, at institutionen opfylder kravet om ansvarlighed, fordi I kan dokumentere hvad og hvordan I har kontrolleret de enkelt GDPR-emner, samt hvilket resultater der er fundet 
• At det kan påvises, at jeres GDPR-retningslinjer virker i praksis, og at I kan dokumentere, at I ikke har forhold, der er uopfyldt eller bør forbedres.
• At kontrolinformationer er tilgængelige, hvis andre skal overtage ansvaret fx ved lederskift.
• At I kan dokumentere jeres ansvarlighed, hvis DPO eller Datatilsynet kommer på besøg.

I praksis bør hver kontrol beskrives med dels, hvilken fremgangsmåde der er anvendt, hvilke observationer der er gjort, og hvad der kan konkluderes ift. opfyldelse.

Vi oplever ofte, at kontroller alene er dokumenteret med et ”ok” eller at institutionens GDPR-retningslinjer genfortælles som kontroldokumentation. Som det fremgår herover, er dette ikke tilstrækkeligt. 

For at udføre en god kontrol, skal det undersøges, om en given retningslinje efterleves i praksis, fx ved at tage stikprøver og efterse at ”alt er godt”.

… Og hvordan kan man så formulere en god dokumentationsbeskrivelse

… det har vi givet et bud på i vedlagte dokument, som vi håber kan inspirere/bidrage til arbejdet med ledelseskontrol.

.. vi kan også anbefale at se nærmere på Videopræsentation om ledelseskontrol | DPO for Selvejende Institutioner – der tager 5 minutter at gennemse.