Fristen er utsatt – men jobber dere riktig med GDPR?
Mange trakk et lettelsens sukk da GDPR-innføringen ble utsatt til tidligst 1. juli. Det er viktig at utsettelsen ikke blir en sovepute. For i ærlighetens navn var det kanskje mange som var på etterskudd i utgangspunktet?
Mange syns det er vanskelig å vite hvordan man skal gripe an problemstillingene rundt GDPR, med mange nye krav til rutiner, dokumentasjon, rapportering osv. Mange vet heller ikke hva som kreves. Hva innebærer regelverket, hvor utfordrende er det å oppfylle krav som innsynsrett, 72-timersregelen for rapportering av databrudd og dataportabilitet?
De fleste virksomheter har store datamengder og behandler persondata. Det er disse mengdene med persondata du må ha kontroll på for å etterleve den nye personvernforordningen. Det er en stor oppgave, men det er overkommelig med de rette verktøyene og rutinene.
Mine kollegaer og jeg snakker ofte med virksomheter om GDPR, og etter vår erfaring er det fem hovedpunkter hvor mange trår feil:
- Arbeidet er ikke forankret i toppledelsen: Det er viktig at ledelsen har forståelse for regelverket og at det haster å komme i mål. Uten ledelsen på laget lykkes dere ikke.
- Har ingen overordnet ansvarlig: Avhengig av størrelsen på virksomheten kan det være nyttig å nedsette en arbeidsgruppe fra ulike deler av organisasjonen, som IT, juridisk, markedsføring og sikkerhet/risikostyring. Det å opprette en komité betyr dog ikke i seg selv at man oppnår samsvar. Man bør ansette eller utnevne noen som har det overordnede ansvaret for å planlegge og gjennomføre arbeidet mot GDPR-overholdelse. Enkelte virksomheter har også krav om personvernombud.
- Har for lite kunnskap: Det er fortsatt mange som tilbyr seminarer rundt GDPR om dagen og det finnes ingen unnskyldning for ikke å vite hva dette dreier seg om. Dere må ha god forståelse for det nye regelverket og hva det innebærer for deres bedrift. Send de ansvarlige på kurs, og la dem dele kunnskapen internt. Få ekstern hjelp om nødvendig.
- Har ikke oversikt: Personvern er ikke nytt i Norge, og mange har sikkert allerede en del rutiner og kontroll på visse områder. For ikke å bruke unødvendig mye tid på dyre konsulenter, bør dere gjøre en kartlegging i organisasjonen for å se hvilke deler av GDPR dere allerede overholder, og hvor dere må tette hull. Lag en plan ut fra dette.
- Har ikke kontroll på dataene: Uten kontroll over dataene har dere ikke mulighet til å oppfylle regelverket. Dere må ha oversikt over hvilke data dere behandler, hvor de er, hvordan de beskyttes, hvordan de innhentes, hva de brukes til og hvem som har tilgang til dem. Ikke minst trenger dere verktøy som gjør det enkelt å finne informasjonen i systemene og rapportere på dette. Dette er grunnstenen i det konkrete arbeidet med GDPR.
Vi ser at svært mange ikke forstår hva punkt nummer fem innebærer. Alle må ta grep om data, rutiner og dokumentasjon innen den nye personvernforordningen trer i kraft, men svært mange kommer til å feile når det gjelder de ustrukturerte dataene. I følge Gartner er 80 prosent av dataene i virksomheter ustrukturerte. Dette er data som ligger i pdf-filer og word-dokument, bilder, mailer og ulike samarbeidsverktøy m.m. Dette er også sensitive persondata man må ha kontroll over. Hvis du ikke har et system for å ta ut informasjon fra ustrukturerte data vil du stå overfor en manuell jobb den dagen noen vil ha innsyn eller dere opplever datainnbrudd – hvor mange dokumenter må dere da gå gjennom?
Les bloggen: Slik får du kontroll på sensitive data med ayfie Supervisor
Budskapet er til syvende og sist enkelt: ikke ta lett på GDPR. Man må ha en målrettet plan for å sikre samsvar med reglene, og reglene må overholdes over tid. Det er kontinuerlig arbeid, ikke et prosjekt som avsluttes før sommeren.
Av Truls Baklid, administrerende direktør, ayfie
Innlegget ble publisert i Norsk Arkivråd 2/18
Ønsker du å høre mer om hvordan vi kan hjelpe deg? Ta kontakt!