Grunnleggende GDPR: Få kontroll på dataene
Uten oversikt over persondataene kommer du ikke i mål til 25. mai. Her er tre tips som sørger for at dere får grunnleggende kontroll og står bedre rustet i forberedelsene.
Dette innlegget ble publisert i Computerworld 8. desember 2017 VirtualWorks
Mange kjemper i disse dager mot tiden for å være klare til den nye personvernforordningen, GDPR, som trer i kraft 25. mai. Det er knappe seks måneder til. For mange innebærer det en helt ny tilnærming og tenkemåte knyttet til hvordan vi behandler persondata. Selv om det alltid har vært streng og tydelig lovgivning på feltet i Norge har GDPR gitt en ny oppvåkning. Vi må endre hvordan vi jobber med persondata, og vi har fått en tydelig tidsfrist å forholde oss til.
I GDPR er det over 80 nye krav man må overholde. De fleste trenger å lage rutiner, få på plass dokumentasjon og gjøre nye risikovurderinger for å komme i mål. Dette har betydning for alle virksomheter i Norge. Det er ikke uten grunn at alle seminarer som omhandler GDPR, gratis eller betalte, er fulltegnede for tiden. Informasjonsbehovet er stort.
Deloittes personvernundersøkelse viser at kun 2 av 10 er svært godt eller godt forberedt på lovendringen. 45 prosent er nøytrale, 12 prosent er lite forberedt, mens hele 25 prosent innrømmer at de ikke er forberedte i det hele tatt. En annen undersøkelse, som NTT Security har gjort, viser at mange virksomhetsledere ikke vet hvor de lagrer data. Hva betyr dette for virksomheter?
Start med dataene
Her kommer vi inn på et svært viktig punkt når det gjelder GDPR: Kontroll over dataene er helt grunnleggende for å ha muligheten til å oppfylle nye krav. Har du ikke oversikt over dataene dine mangler du hele grunnlaget for compliance, som det heter på godt norsk. Skal du overholde krav som 72-timersregelen ved sikkerhetsbrudd, dataportabilitet og personers rett til innsyn i egne data, må din virksomhet ha kontroll på dataene. Om dere ikke har kontroll på dataene begynner det å haste med å få oversikt over hvor du lagrer data og hvilke typer data du har lagret. Når man i tillegg vet at rundt 80 prosent av virksomheters data er ustrukturerte er det lett å tenke seg at det ligger mye persondata i dokumenter som tidligere ikke er kartlagte. Skal du overholde GDPR er du pliktig å skaffe deg en oversikt over alle data, også de ustrukturerte.
Last ned vår kom-i-gang-sjekkliste for GDPR.
Dette er våre tre tips til hvordan du får kontroll over persondataene:
- Kartlegg hvor virksomheten lagrer persondata og hvem som har tilgang: Virksomheter har som regel data i en rekke ulike systemer, som filservere, Office 365, ERP- og CRM-systemer, intranett, HR-systemer osv. Ulike avdelinger kan ha ulike systemer og rutiner, og det er virksomheten sin plikt å skaffe seg oversikt over dette. I tillegg må man også vite hvem som har tilgang til disse dataene, og sikre at det kun er de som trenger tilgang som kan se denne type data.
- Få oversikt over hvilke typer data. Når virksomheten vet hvor dataene befinner seg og hva som er lagret, er dere et godt stykke på vei. Med gode søkeløsninger skal det være enkelt å se om dere sitter på navn, e-postadresser, personnummer eller andre typer persondata. I henhold til GDPR må dere også begrunne hvorfor dere lagrer dataene og hva de brukes til.
- Sikre at det er enkelt å finne og ta ut informasjon om persondata fra systemene. Det må være enkelt å finne og rapportere på dataene. Tidsfristene er strenge dersom en enkeltperson ønsker innsyn i sine data, eller om det skulle oppstå en situasjon hvor Datatilsynet må varsles grunnet sikkerhetsbrudd. Da trenger dere en løsning som tar ut og presenterer data enkelt og oversiktlig, i et vanlig lesbart format.
Når du har kontroll over dataene blir det enklere å dokumentere og etablere de nødvendige rutinene.
Ønsker du å høre mer om hvordan vi kan hjelpe deg - ta kontakt!