10 centrale features i GDPR compliance software

Hvilke features bør GDPR software have - og matcher disse dine behov?

GDPR-compliance software tilbyder en række forskellige funktioner, der er designet til forskellige behov. Det er vigtigt, at du evaluerer dem i forhold til dine specifikke krav.

Da compliance-software tilbyder en lang række forskellige funktioner, fokuserer denne artikel på 10 nøglefunktioner i forhold til at være GDPR-compliant.

Feature 1: Data Mapping

Det første skridt mod GDPR-compliance er at forstå: Hvor, hvad, hvordan og af hvem persondata bliver behandlet. For at få dette overblik vil det være nødvendigt at lave en kortlægning af dine forretningsprocesser, systemer og leverandører. Denne kortlægning har til formål at give dig et klart billede af, hvordan data bruges.

En datamapping er dermed et helt centralt element af alt compliance-arbejde, så dit GDPR-software kræver robuste funktioner inden for netop dette område.

Du kan med fordel kigge på, hvor intuitivt og let det er, hvis du skal mappe nye dataflows eller redigere i eksisterende. Jo lettere det er at bruge funktionaliteten, jo større er sandsynligheden for, at du også løbende vil sikre, at data altid er opdateret i forhold til virkeligheden.

Den datamapping, du laver, skal også give dig mulighed for forskellige rapporteringer. F.eks. skal du kunne lave en opdateret Artikel 30-fortegnelse med de informationer, som den skal indeholde. Derfor skal du sikre dig, at det datamapping-værktøj, der kommer med softwaren, giver dig mulighed for at leve op til minimumskravene i GDPR.

Ideelt set skal værktøjet også tilbyde dig funktioner, så du både kan administrere dine processer og dine it-systemer. På den måde kan du få overblik over den samme dokumentation, men fra forskellige vinkler alt efter behov. På denne måde er det lettere at sikre GDPR-compliance på daglig basis, da du kan arbejde med samme dokumentation på både et proces-, system- og leverandørniveau.

At dele dokumentation med de rette kollegaer kan være en central del af din datamapping, da viden ofte er spredt ud over din organisation. Kig derfor efter GDPR-compliance-software, der giver dig mulighed for at eksportere data, sende delbare links eller give "ikke-eksperter" adgang til en intuitiv og forståelig platform.

Feature 2: Overblik fra forskellige perspektiver

Som en fortsættelse af punkt ét i denne artikel, er det vigtigt at vælge en platform, som ikke bare er let at bruge, men som også giver dig et overblik – og gerne fra forskellige perspektiver. Det kan variere, hvilke vinkler du har brug for at kigge på din compliance-dokumentation fra. Den ene dag kan du have brug for at se det fra en it-system-vinkel, og næste dag fra en procesvinkel. Derfor anbefaler vi, at du kigger på datastrukturen, når du skal vælge GDPR-software. Er data logisk organiseret, og passer det til din organisations behov? Og tilbyder platformen mulighed for at kunne se den samme dokumentation fra forskellige vinkler?

Det er en fordel at vælge en platform, der benytter din virksomheds arbejdsprocesser (behandlingsaktiviteter) som fundament for din dokumentation. Dette er især en fordel, da du skal kunne fremvise en artikel 30-fortegnelse over dine behandlingsaktiviteter. Men processer giver dig også et godt udgangspunkt, hvor du kan tænke over, hvad I gør i virksomheden, og oprette processer på den baggrund. For eksempel:

Lønudbetaling til medarbejdere
Salgsproces til kunder
Opsætning og vedligehold af hjemmeside

Kig efter GDPR-software, der gør det let at linke dine processer og systemer, når du laver din datamapping. Hold derfor øje med, om du f.eks. kan linke systemer til de processer, hvor systemet bliver brugt. Hvis du forestiller dig, at du skal lave en helt ny datamapping af en arbejdsproces (behandlingsaktivitet), har du så, når du er i gang med indtastningen af data, muligheden for at linke både systemer og leverandører som en del af flowet på en naturlig og let måde? Ved at have funktionalitet, der understøtter dette, slipper du for at navigere frem og tilbage mellem forskellige moduler, når du laver din datamapping.

Feature 3: Muligheden for at udvide med flere compliance områder

I denne artikel har vi fokus på GDPR-compliance-software, men mange organisationer er på udkig efter compliance-software, der kan dække flere forskellige områder. Når du vælger en platform, bør du derfor kigge efter dens muligheder for at inkludere flere compliance-domæner. Det kunne f.eks. være ISO 27001 og NIS2 eller andre domæner, der er relevante for dig.

Hvis du for eksempel bruger platformen til GDPR og samtidig styrer din it- og cybersikkerhedscompliance, vil værdien af en platform, hvor det er tænkt ind, at du skal kunne arbejde med flere områder, være meget høj. Vær dog opmærksom på, at du ikke vælger en platform, der er "for bred" og kan dække virkelig mange områder. Det er en balance, for software, der kan dække et stort antal områder og domæner, risikerer også at blive overkompleks. Og så vil du gå på kompromis med, hvor brugervenlig og intuitiv platformen er. Derfor er en "alt-i-en"-platform heller ikke nødvendigvis det rigtige svar for dig.

Når du kigger på forskellige områder, kan du med fordel også se på sammenhængen mellem de forskellige compliance-områder. Når du for eksempel håndterer GDPR og it-sikkerhed i samme platform, vil det give mening, at du ikke behøver at dokumentere den samme information inden for begge kontekster. For eksempel, når du kortlægger dine it-systemer, vil der være mange forskellige informationer, der går på tværs af GDPR og it-sikkerhed. Du skal have en platform, der arbejder med dig og tager højde for dette, da det er ineffektivt at skulle dokumentere de samme oplysninger flere gange.

Hvis du finder en platform, der understøtter flere compliance-områder, men planlægger at starte med GDPR-compliance, anbefaler vi, at du sikrer dig, at du kan aktivere GDPR-funktionerne først, men har mulighed for at aktivere flere funktioner (f.eks. it-sikkerhed) i samme platform på et senere tidspunkt. Denne tilgang kan både hjælpe med at simplificere din onboarding og give en økonomisk besparelse.

Feature 4: Organisatorisk styring og koncernstrukturer

Er du en del af en organisation med flere forskellige selskaber – eller planlægger du, at det kommer til at ske i fremtiden (f.eks. via opkøb)? Hvis dette er tilfældet, er det meget vigtigt at undersøge, om den compliance-platform, du kigger på, kan håndtere sådanne koncerners kompleksitet.

Compliance-dokumentation skal som oftest designes til det enkelte selskab, men der kan også være behov for at udarbejde og distribuere dokumentation på et koncernniveau. For eksempel kan en koncern have delte HR-ressourcer på tværs af datterselskaber, og der vil det give værdi, at platformen er designet til at håndtere dokumentation og styre brugerrettigheder på tværs af flere selskaber.

Hvis den platform, du kigger på, ikke tilbyder denne fleksibilitet fra start, vil det efter al sandsynlighed ikke være noget, der bliver tilføjet som en ekstra funktion på et senere tidspunkt. Dette vil være en stor udfordring for en leverandør at opdatere sin platform med. Derfor er det klogt at være på udkig efter GDPR-compliance-software, der er designet til at håndtere koncernstrukturer fra begyndelsen.

Feature 5: Opgavestyring og årshjul

En af de store fordele ved GDPR-compliance-software er, at det giver mulighed for at samarbejde med kollegaer omkring compliance-relaterede opgaver. For eksempel kan en databeskyttelsesrådgiver (DPO) delegere ansvar til specifikke kollegaer. På denne måde kan du være med til at sikre, at det ikke er en enkelt medarbejder, der bliver overvældet af at skulle løse alle compliance-relaterede opgaver. Det kan være svært at opnå denne form for uddelegering, hvis du ikke har et værktøj, der er designet til netop at supportere en sådan arbejdsgang.

Effektiv opgavestyring er brugbar i denne kontekst. Et sådant modul kan hjælpe med at sikre, at kommende opgaver er klart kommunikeret til alle relevante brugere/kollegaer, der skal udføre opgaven. Når du kigger efter GDPR-software, skal du derfor se efter, om værktøjet tilbyder funktionalitet til planlægning. Dette kunne f.eks. være at opsætte et årshjul med tilbagevendende to-do-lister, mulighed for at definere, hvem der er ansvarlig, og specificere deadlines. Systemet skal også kunne sende notifikationer, så de rette personer bliver påmindet på det rette tidspunkt – på den måde sikres det, at compliance-opgaverne bliver løst til tiden.

Når du vurderer opgavestyringsmulighederne i GDPR-compliance-software, kan du med fordel undersøge, om det tilbyder prædefinerede opgaver inden for complianceområder som f.eks. GDPR. Samtidig kan du med fordel se efter, om det er designet til at håndtere compliance-relaterede opgaver. Til sidst bør du også kigge efter mere tekniske funktioner, som muligheden for at uploade dokumentation, tilgå historisk log over udførelsen, og muligheden for at kommentere på en opgave.

Ved at distribuere compliance-opgaver ud i organisationen, hvor flere personer kan deltage, vil du brede ansvaret ud, komme tættere på viden og gøre GDPR og compliance til noget, I naturligt taler om i virksomheden.

Feature 6: Risikomodul

Din GDPR-software skal have et risikovurderingsmodul, som kan bruges til at evaluere risikoen på dine behandlingsaktiviteter, systemer og leverandører. At lave detaljerede vurderinger af relevante trusler mod behandling af persondata og at nedbringe signifikante risici til et acceptabelt niveau er en fundamental del af at være compliant. Derfor vil risikomodulet i din GDPR-compliance-software spille en vigtig rolle i dit arbejde.

Overvej den metode, som den aktuelle GDPR-compliance-software bruger til at udføre risikovurderinger. Da dette vil være en hjørnesten i dit compliance-arbejde, vil du skulle bruge netop den metodik til alle dine behandlinger. Se på, om modulets rammeværk for at lave risikovurderinger følger best practice og f.eks. hvad Datatilsynet foreslår. Hvis du går efter Datatilsynets vejledning, ønsker du at finde et risikomodul, der arbejder med en konsekvens- og sandsynlighedsmetodik.

Risikomodulet skal også meget gerne være brugervenligt, så dine kollegaer kan bidrage og ikke skræmmes væk af kompleksitet. Ved at involvere dine kollegaer kan du opnå mere dybdegående risikovurderinger og få indsigt i parametre, som ellers kunne være i risiko for at blive overset. Test, hvor intuitivt det er at benytte modulet, ved at se, om risikomodulet giver brugbar og forståelig guidance igennem risikovurderingsprocessen. Passer modellen til din nuværende risikovurderingsproces? Og tilbyder modulet skabeloner til f.eks. standard risikoscenarier, som du let kan tage i brug og komme godt fra start?

Feature 7: Brugervenlighed og tilgængelighed

Selvom det ikke er en specifik funktion, bør tilgængelighed og brugervenlighed være et centralt parameter for dit valg af platform. Brugervenligheden skal gerne skinne igennem i hver enkelt funktion i det GDPR-compliance-software, du kigger på.

Som nævnt kort tidligere i artiklen, er en af de primære fordele ved at bruge GDPR-compliance-software, at et sådant værktøj kan hjælpe med at simplificere og eliminere den kompleksitet, der ellers ofte er forbundet med at bruge f.eks. Excel-ark til compliance-arbejde. Derfor bør brugervenlighed være et designgreb, der er tænkt ind gennem hele platformen og dens funktioner. Uanset om du er involveret i datamapping, planlægning af opgaver i organisationen eller udførelse af risikovurderinger, skal platformen være forståelig og let at benytte.

Det er desværre ikke alt compliance-software, der er designet med brugervenlighed i tankerne. Nogle platforme vil præsentere dig for lange og komplekse formularer, som kan gøre systemet endnu mere uoverskueligt end Excel. Dette er den risiko, du løber, hvis brugervenlighed ikke har været indtænkt fra start.

Og hvis det compliance-software, du benytter, ikke er brugervenligt, er det usandsynligt, at det kommer til at forbedre sig over tid. I takt med at compliance-området udvikler sig, vil disse systemer også udvikle sig og på den måde kun tilføre mere kompleksitet. Så kig efter en platform, hvor det, leverandøren præsenterer dig for, er forståeligt og virker intuitivt.

Feature 8: Frameworks og standarder

Når du vælger compliance-software, kan du med fordel undersøge markedet for de platforme, der tilbyder standardskabeloner, som kan hjælpe med at simplificere dokumentationsprocessen. Det kunne f.eks. være risikoscenarier, som du let kan tage i brug som kladde til dine risikovurderinger. Du kan også se efter, om der er skabeloner tilgængelige for din datamapping. Tænk over, hvilke relevante skabeloner og standarder du kunne få brug for, og undersøg, om softwaren tilbyder disse.

Standarder og skabeloner kan ofte give dig et solidt fundament til at sparke dine compliance-opgaver i gang. Derudover kan skabeloner være med til at fjerne noget af den tvivl, du kunne have i forhold til din dokumentation – da eksperter har været med til at udvikle skabelonerne.

Feature 9: Tilpasning til din organisation

I modsætning til standardskabeloner kan du også have brug for at modificere dele af GDPR-compliance-softwaren, så den afspejler specifikke behov i din organisation. Det kunne for eksempel være, at du har behov for at tilføje en kategori af persondata, som platformen ikke tilbyder "ud af boksen." I et sådant tilfælde har du brug for at kunne administrere og opdatere stamdata i platformen, så den kommer til at afspejle en terminologi og kontekst, som du er vant til. På den måde kommer platformen til at tale et sprog, som dine kollegaer forstår.

Det er dog vigtigt at træde varsomt og finde en balance. Ved at modificere for meget kan du ende med at gå på kompromis med platformens brugervenlighed. Det handler om at finde den rette balance mellem standardfunktionalitet og tilpasning til din organisation.

Feature 10: Rollestyring

Nogle organisationer vælger at placere opgaven med compliance-dokumentation hos en enkelt medarbejder eller en begrænset gruppe, som vedligeholder dokumentationen. Andre vælger at brede dokumentationsopgaven ud i hele organisationen, hvilket betyder, at mange brugere pludselig skal tilgå GDPR-compliance-softwaren.

Compliance-software kan i høj grad hjælpe med at styrke samarbejdet omkring dokumentationsopgaver, hvilket i sidste ende kan skabe bedre compliance-dokumentation, især i større organisationer.

Hvis du planlægger at uddelegere dokumentationsopgaver i organisationen, er det vigtigt, at du vælger et værktøj med et robust og fleksibelt rollestyringsmodul. Her skal du sikre dig, at du kan styre, hvilke data brugerne kan se, oprette og redigere. Derudover kan det være en stor fordel, hvis du kan tilpasse brugergrænsefladen til brugerdefinerede behov. For eksempel kan det være, at en bruger skal have adgang til datamapping, mens en anden kun har brug for at se risikomodulet.

Bonus Feature: Husk tredjeparterne

Compliance rækker ud over din virksomheds fire vægge. De fleste organisationer i dag benytter en bred vifte af it-systemer, leverandører, eksterne konsulenter og deler data med offentlige myndigheder. Dit compliance-arbejde er kun så stærkt som din svageste samarbejdspartner. Derfor er det vigtigt, at du har compliance-software med fokus på leverandørstyringsfunktionaliteter.

Softwaren skal gøre det muligt for dig at kortlægge, hvilke modparter der er involveret i din compliance-proces, og sikre, at de har en klart defineret rolle i din værdikæde. For eksempel, hvis en modpart opererer som din databehandler, skal du vedligeholde dokumentation for dem i værktøjet. Det kunne f.eks. være en databehandleraftale og erklæringer fra leverandøren. Derudover skal værktøjet tilbyde funktionalitet til at udføre risikovurderinger af dine leverandører og køre løbende auditeringer af dem.

Derfor er det vigtigt, at du vælger compliance-software, der også tilbyder funktionalitet til de opgaver, der rækker ud over din egen organisation.

Opsamling

Nogle funktioner i GDPR-compliance-software er centrale for din organisations compliance-niveau, mens andre funktioner er mindre vigtige og dermed ikke har en betydelig indvirkning på din drift, hvis de ikke er perfekte. Til gengæld kan dårligt designede funktioner underminere dit compliance-arbejde og potentielt føre til, at du bliver nødt til at skifte software, en proces der kan være udfordrende.

For at lære mere om, hvordan sådan et skifte kan se ud, læs mere om vores oplevelser her.