GDPR kan for mange føles som en ubeleilig tvangstrøye, men nå er det nå slik at forordningen innføres om du liker det eller ei. Da kan det være lurt å heller se forordningen som en mulighet, og benytte den til å få oversikt over systemlandskapet i din bedrift.
I tillegg kan du effektivisere dataflyten, og forbedre systemene på tvers av organisasjonen på veien mot GDPR-compliance.
Få oversikt og kontroll
Det første du bør gjøre, er å starte med å gjennomgå de nye reglene nøye, og vurdere hvordan de vil påvirke virksomheten. Dette er en vanskelig jobb, for selv om du sannsynligvis har god kontroll på systemene dere drifter – hvordan de fungerer og hvilke muligheter de gir – er det ofte vanskelig å vurdere om bedriften har alt på det tørre, juridisk sett. Derfor, hvis den juridiske ekspertisen i organisasjonen er begrenset, vil det sannsynligvis være en god investering å jobbe med en advokat eller en spesialist på området som kan ta en kvalifisert vurdering av situasjonen.
Du bør også kommunisere konsekvensene av å ikke overholde GDPR til ledelsen. Det er svært viktig at du får ledelsen med på laget slik at det investeres tid og ressurser i arbeidet for å bli compliant. De fleste ledere vil nok ta forordningen seriøst, men hvis du opplever at arbeidet for å bli GDPR-godkjent ikke blir tatt seriøst, kan du godt minne sjefen på konsekvensene av å bryte forordningen.
Er virksomheten representert i flere EU-land (eller utenfor), bør dere finne ut av hvilken myndighet som har ansvaret for tilsyn av de personopplysninger dere lagrer. Lagrer dere data utenfor EU, eller gir personer som sitter utenfor EU tilgang til data, må dere undersøke hvilke konsekvenser det kan medføre. Husk at det ikke er ID-en eller nasjonaliteten til personen med tilgang som er avgjørende for om data regnes for å være utenfor EU, men lokalisering til personen som behandler personopplysningene.
Jobber virksomheten din med store mengder data, må dere utnevne et personvernombud (også kjent som Data Protection Officer (DPO)). Personvernombudet skal være et bindeledd mellom ledelsen, personer som dere har registrert i egne systemer og Datatilsynet.
Tips for IT-avdelingen
IT-avdelingen er nødt til å ha oversikt over hvilken informasjon som lagres på personer (kunder, leverandører, besøkende og brukere) og i hvilke systemer disse er registrert. Er noe informasjon lagret manuelt? Er den lagret på forskjellige nettverk eller i ulike skyløsninger? Gå grundig til verks her for å forsikre deg om at dere vet hvor de forskjellige type data er lagret.
Vurder sammen med en IT-ekspert om eksisterende systemer er sikre, og om systemene støtter de rettighetene som registrerte brukere har. Blant annet har brukere, med GDPR, rett til å bli slettet fra systemene dine for godt. I tillegg skal virksomheter over 250 ansatte registrere og dokumentere hvem som redigerer persondata, og hvilke kategorier av data som behandles. Begge disse kravene høres kanskje ut som enkle oppgaver, men vær oppmerksom på at systemene dere bruker skal ha funksjonalitet og støtte til å etterkomme kravene på effektiv måte, og i stor skala.
Målet er selvsagt å unngå sikkerhetsbrudd i systemene, men skulle uhellet være ute er det viktig å være forberedt. Sikkerhetsbrudd må meldes til myndighetene innen 72 timer, og personer som er påvirket av sikkerhetsbruddet skal også informeres så raskt som mulig. Sørg derfor for å ha prosedyrer klar i tilfelle noe uforutsett skulle skje.
Forbehold: CatalystOne er ikke juridiske rådgivere. Artikkelen over er en gjengivelse av offentlig informasjon, og er ikke et forsøk på å tolke juridiske formuleringer, eller å gi juridiske anbefalinger. CatalystOne anbefaler å benytte juridisk ekspertise (enten eksternt eller internt).