Kom i gang med GDPR - 3 enkle steg

Av Ståle Iversen 22. nov. 2017

Kom_i_gang_med_GDPR-166035-edited.jpgDersom du og virksomheten din er blant dem som ikke har kommet i gang med GDPR ennå, så begynner du å få det travelt. Tiden er moden for en rask og praktisk tilnærming. Dette forslaget er riktignok noe forenklet, men akkurat nå er det ikke tid til å komplisere.

Du har rett til at opplysninger om deg som person, et levende individ, blir beskyttet, og at slike personopplysninger behandles på en sikker måte. Samtidig skal behandlingen av dine personopplysninger tjene et formål som du er kjent med (og helst har gitt ditt samtykke til), og de skal være tilpasset formålet uten at flere personopplysninger enn nødvendig blir samlet inn. Videre skal ikke personopplysningene overføres til hvem som helst og slettes når de ikke lenger behøves til formålet. Dette er noe av kjernen i GDPR. Men dette også har vært kjernen i tidligere lovverk (lov om behandling av personopplysninger), så hvorfor alt oppstyret nå?

Les mer: Risikovurdering datasikkerhet: Vet du egentlig hva som kan ramme deg?

Bøter

Mye av bakgrunnen for oppstyret heter bøter. Potensielt høye bøter. Alle innenfor EU og EØS må etterleve et regulativ, og de som ikke er klare innen 25. mai 2018, risikerer høye bøter. Når vi i tillegg vet fra ferske undersøkelser at mange norske virksomheter ser ut til å slite med fristen for å etterkomme GDPR, så bør vel en utsettelse for Norge være løsningen? Nei, det er ikke løsningen, og det kommer ikke til å skje. En utsettelse vil være så konkurransevridende at det vil være umulig for EU å akseptere.

Slik starter du med GDPR

På tide å brette opp ermene, altså. Starter du med disse enkle tiltakene, kommer du raskt og effektivt i gang:

Steg 1: Sett sammen en GDPR-organisasjon

Hvilke avdelinger i organisasjonen er i befatning med personopplysninger? Eksempler kan være salg, HR, økonomi, markedsføring. Dette finner du raskt ut av, og personopplysninger kommer gjerne både fra kunder og ansatte. Tenk deg en kundereise gjennom egen virksomhet, og se for deg hvilke avdelinger den treffer fra start til mål. Gjør det samme med en ansatt. Plukk ut dem som har et lederansvar i de berørte avdelingene, og du kan være på vei til å ha din GDPR-organisasjon klar. 

Steg 2: Kartlegg personopplysningene i virksomheten.

Når persongalleriet er på plass, er du klar til å starte jobben med å kartlegge de personopplysningene virksomheten besitter. Hent dem inn fra hver avdeling ved blant annet å stille disse spørsmålene:

  • Hvilke personopplysninger har vi i de ulike avdelingene?
  • I hvilke system finnes opplysningene?
  • Til hvilke formål er de samlet inn?
  • Blir de sendt ut av organisasjonen? I så fall, til hvem?
  • Hvilke prosedyrer har vi for sletting av personopplysninger?

Steg 3: Sett økonomiske rammevilkår for innføringen av GDPR.

Etter at du har kartlagt hvem som bør være en del av GDPR-organisasjonen, og kartlagt hvilke personopplysninger virksomheten behandler, og hvor disse behandles, begynner du å få et visst bilde av hva omfanget av jobben vil være. Strengt tatt har du inntil nå kun skrapt i overflaten av det som kommer. Likevel, innføring av GDPR vil for de fleste kreve en eller annen form for økonomiske rammebetingelser. For noen er det snakk om noen få tusenlapper, for andre vil det sannsynligvis handle om beløp på flere millioner.

Noe av det du skal forholde deg til videre, er å sikre personopplysninger i henhold til GDPR med tanke på forhold som:

  • Hvordan behandle av personopplysninger slik at det er mulighet til innsyn i hva som er lagret?
  • Hvordan forholde seg til krav om sikker lagring av personopplysninger
  • Hvordan forholde seg til krav om sletting av personopplysninger?
  • Hvordan forholde seg til krav om å overføre personopplysninger til en tredje part?
  • Hvordan skal varslingsrutiner ved eventuelle brudd på GDPR bygges opp?

Dette kan innebære at en ny infrastruktur på IT-siden må på plass, og i tillegg vil behovet for å gjøre risikovurderinger bli et krav for mange. Hvis du allerede har, eller tenker å kjøpe, programvare for kvalitet, sikkerhet og beredskap, bør det være moduler der som er meget godt egnet for konsekvensvurderinger innen GDPR. Denne typen verktøy vil være svært besparende ut fra at man har hensiktsmessige rapporter, samt maler som brukes om igjen. 

 Klikk her for å se nærmere på modulene i CIM, vårt digitale system for  sikkerhet og beredskap

Hva skjer etter 25. mai?

Vi har altså skrapt litt i overflaten når det gjelder starthjelp for å komme i gang med tilpasningen til GDPR. Du må forberede deg på å gjøre en rekke dypdykk avhengig av hvordan virksomheten har bygd opp sin personopplysningsbehandling, og forhold som blant annet avhenger av hvilken bransje man opererer innenfor. Noen bransjer har selvsagt en langt større mengde personopplysninger, og noen virksomheter kommer også i befatning med sensitive data, som vil kreve ytterligere behandlingskrav. Da er det bare å sette seg inn i de 99 artiklene som danner GDPR.

Husk - du skal leve med GDPR også etter 25. mai 2018, og dette vil være en vedvarende prosess du må forholde deg til. Prosedyrer og strukturer du bygger nå, må tilfredstille bestemmelsene og gjøre det enkelt for deg å etterleve dem også etter innføringen. Hvis du eksempelvis bytter CRM-system, må du sørge for at leverandøren har sin GDPR i orden, og at systemet gjør det enkelt for deg å følge kravene.

Les mer om GDPR på Datatilsynets hjemmesider

Det blir nemlig INGEN utsettelse, overgangsregler eller noen særbehandling av norske virksomheter. Selv om vi liker å tenke på oss selv som motoren i den europeiske økonomien, så må vi nok innse at vi knapt er et blinklys.

 

 

Slik skriver du beredskapsplan ebok_CTA

 

 

Temaer: Informasjonssikkerhet, GDPR


Ståle Iversen's photo

Av: Ståle Iversen

Ståle er salgssjef i One Voice.

Følg på LinkedIn

Epost

Kommentarer

Søk i bloggen

One Voice AS

One Voice er en teknologibedrift, etablert i 2006, med hovedkontor i Trondheim. Vi leverer programvareløsninger innen blant annet risiko- og sårbarhetsanalyser, beredskapsplanlegging og hendelse- og krisehåndtering. Vårt hovedprodukt CIM® er verdensledende innen krisehåndtering, og omtales som det nasjonale beredskapssystemet.

Besøk onevoice.no

New Call-to-action

Siste innlegg