Kort svar
En behandlingsprotokoll er først nyttig når den gir ledelsen oversikt over hva som faktisk skjer med dataene.
Start med å få kontroll på hvilke behandlinger virksomheten har, hvem som er ansvarlig og hvordan opplysningene brukes, lagres og deles, slik at ansvar, frister og dokumentasjon henger sammen.
Når dette ofte blir aktuelt
- når dere skal gjennomføre et løp som berører hvilke behandlinger virksomheten har
- når ansvar, varsling eller frister rundt hvem som er ansvarlig må avklares
- når dere trenger et ryddig spor for hvordan opplysningene brukes, lagres og deles
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke behandlinger virksomheten har | avgjør hva som må skje først |
| Hvem som er ansvarlig | sier noe om hvem som må involveres og varsles |
| Hvordan opplysningene brukes, lagres og deles | reduserer risikoen for hull i dokumentasjonen |
Praktisk framgangsmåte
- Lag en enkel plan med ansvar, frister og tydelige beslutningspunkter.
- Samle faktagrunnlag og dokumenter knyttet til hvilke behandlinger virksomheten har.
- Avklar hvilke steg, varsler eller innsendelser som følger av hvem som er ansvarlig.
- Kontroller at sluttresultatet også dekker hvordan opplysningene brukes, lagres og deles.
Dokumentasjon som ofte avgjør
Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:
- kartlegging av hvilke personopplysninger virksomheten behandler
- rutiner, policyer og avtaler som styrer behandlingen
- risikovurderinger, protokoller og endringslogg
- oversikt over systemer, leverandører og tilgangsnivåer
Vanlige feil
- ansvar for framdrift, varsling og signering er uklart
- virksomheten beskriver et formål, men jobber i praksis på en annen måte
- for mye data samles inn fordi ingen eier oppryddingen
Når bør dere hente konkret hjelp?
Når store datamengder, ansattdata, tredjelandsoverføring eller reell sikkerhetsrisiko er involvert, bør vurderingene forankres tydelig og sees samlet. Det gjelder særlig hvis flere roller, formelle vedtak eller myndighetsmeldinger må koordineres samtidig.
Relaterte guider
- Informasjonsplikt når opplysninger kommer fra andre enn den registrerte
- Kundedata i AI-verktøy: hva må bedriften avklare?
- Leverandørbytte og migrering av personopplysninger: hva må planlegges?