Sitter du nært nok GDPR?
Innlegget ble publisert i Computerworld nr 4 2018
Mens enkelte bedrifter nærmest ser GDPR som et IT-spørsmål, er andre IT-avdelinger satt på sidelinjen og venter på oppgaver fra GDPR-ansvarlige i virksomheten. Hvis du føler deg truffet av det siste scenariet er det på tide å komme på banen.
Som programvaretilbyder snakker vi mye med bedrifter om GDPR om dagen. Vi opplever at mange virksomheter har utfordringer med å plassere ansvaret for GDPR, og at det er utfordrende å finne en helhetlig tilnærming som ivaretar alle berørte funksjoner i virksomheten. Nye regler for håndtering av personopplysninger angår en rekke avdelinger: Finans, HR, markedsføring, juridisk, IT-avdeling og ledelse. Faktisk er det administrerende direktør som til syvende og sist har ansvaret for at reglene overholdes, noe det virker som mange glemmer.
Vi ser også at mange virksomheter er i ferd med å gå seg vill i planlegging, policyer og strukturering av arbeidet, mens den praktiske implementeringen ikke er i gang. Strukturering av arbeidet er selvsagt viktig, men IT-avdelingen har gjerne omfattende oppgaver foran seg som krever godt samarbeid med de ulike avdelingene, og det er det viktig å komme i gang med.
Bank på riktig dør nå
Dersom du er IT-sjef eller jobber i en IT-avdeling som enda ikke har blitt involvert i arbeidet må du finne ut hvilken dør du skal banke på nå og sørge for å sitte tett på GDPR-forberedelsene. Det er bare et par måneder til regelverket trer i kraft. Selv om justisministeren har varslet en mulig forsinkelse i Norge er det ingen grunn til å sitte på gjerdet. Direktør ved Brønnøysundregistrene, Lars Peder Brekk, var nylig ute og ytret at informasjonsforvaltning er en forutsetning for å lykkes med GDPR, og det er jeg helt enig i. Her spiller IT-avdelingen en viktig rolle.
De som har kontroll på dataene
IT-avdelingen forvalter informasjonssystemene, og det er her det meste av dataene ligger, inkludert persondataene som GDPR omhandler. IT-avdelingen er virksomhetens ypperste ekspertise når det gjelder kontroll på data – og for GDPR er historiske, ustrukturerte data viktige. De kan ikke kobles på i siste liten og forventes å levere magi på kort tid.
Virksomheter må vite hvor de har persondata, hvem som har tilgang til dem, hvorfor dere lagrer dem og hva de brukes til. Å overholde reglene vil fremover kreve mye bedre rutiner for informasjonsforvaltning, og mye kan løses hos IT-avdelingen. Virksomheter må også kunne hente ut fullstendige data om enkeltpersoner i løpet av relativt kort tid, og kunne nøste i eventuelle sikkerhetsbrudd for å kartlegge og rapportere skadeomfang innen 48 timer. Noe IT-avdelingen kan hjelpe med?
Sannsynligvis har IT-avdelingen en stor jobb foran seg i samarbeid med ulike avdelinger i å kartlegge hvor data befinner seg og sikre at data enkelt kan bli funnet og tatt ut. Dere har en rolle i å rydde i eksisterende data og bidra til at det som skal slettes blir slettet. Dere kan sørge for god forvaltning av systemene og løsninger som gjør det enkelt å rapportere på dataene dere sitter på, og de dataene dere kommer til å hente inn. Det er på tide å rekke opp hånden, synliggjøre hvilken rolle dere kan ta og ta fatt på oppgavene!
Truls Baklid, europeisk salgssjef i ayfie
Ønsker du å høre mer om hvordan vi kan hjelpe din bedrift - ta kontakt!