GDPR: Gjør personvern til kultur
Denne artikkelen ble opprinnelig publisert av Frode Lund Nielsen, Head of Presales i ayfie, i Ukeavisen Ledelse 23. november, 2018.
Skal man lykkes med personvern, bør tankesettet bli en del av organisasjonskulturen. GDPR-overholdelse er ikke nok for å skape et konkurransefortrinn.
Før sommeren stresset mange norske selskaper med å sikre at deres personvernrutiner og -erklæring skulle være i samsvar med GDPR før fristen.
Noen er nok i ærlighetens navn ikke helt i mål enda.
En av de store feilene mange har gjort, er å se på GDPR som et tidsavgrenset prosjekt. De overser at godt personvern handler om mer enn krav i et nytt regelverk. Det å vise markedet at ivaretagelse av den enkeltes personlige informasjon og rettigheter er et prinsipp som er innbakt i organisasjonens kultur og arbeidsmåter, bygger tillit og omdømme over tid. Det er du avhengig av for å lykkes i markedet.
Å bygge personvernkultur er ingen enkel oppgave, men vi har noen tips som kan hjelpe dere på vei:
1. Gjør de nødvendige tiltakene for å sikre GDPR-overholdelse, om dere ikke er i mål med dette enda. Dette inkluderer blant annet oppdatert personvernerklæring, rutiner og dokumentasjon, kartlegging av data, verktøy for rapportering med mer. Men ikke stopp der. Det er nå dere må legge langsiktige planer:
2. Implementer gode personvernrutiner og dokumentasjon av dette. Disse formelle retningslinjene legger grunnlaget for å innarbeide rutiner som en del av arbeidsformen. Alle som i en eller annen form behandler persondata skal vite hvilke regler de skal følge: hvor dataene skal ligge, hvordan de kan brukes og behandles og hvordan man kan rapportere og få oversikt over dataene. Virksomheten må sørge for gode verktøy for kartlegging og rapportering i henhold til kravene.
3. Gi den enkelte ansvarsfølelse for personvern. De fleste avdelinger og funksjoner i en virksomhet behandler persondata: HR/personal, økonomi, salg og markedsføring, for å nevne noen. IT-avdelingen har ansvaret for teknologi og systemer hvor data er lagret, og spiller også en viktig rolle. Totalt blir det ganske mange mennesker som har stor betydning for at dere skal sikre godt personvern over tid. Formelt sett er det lederens ansvar, men man er ikke sterkere enn sitt svakeste ledd. Glipper noen på rutinene, glipper man også på GDPR-samsvar og risikerer å sette tilliten fra kundene på prøve.
4. Ledelsen må bli personvernets interne ambassadører. At sjefen og andre ledere går foran og bruker retningslinjene og ser verdien av personvern er en forutsetning. Tydelighet på at dette er viktig er utgangspunktet for vellykket gjennomføring.
5. Du er nå på god vei til å bygge en kultur for personvern. Dette vil være av uvurderlig verdi for å sikre GDPR-samsvar for fremtiden og sikre tillit fra kunder og interessenter. I stedet for å være et sjekkpunkt på en liste blir det en del av holdninger og arbeidsform. Alle forstår at det tar tid å endre arbeidsformer og kultur. Derfor er det viktig å se GDPR-regelverket som et startskudd og en bevisstgjøring, men aldri slippe fokuset på personvern.