Dette nettstedet bruker informasjonskapsler for å forbedre din opplevelse på siden. Du kan lese mer om hvorfor og hvordan her.

OK
Forside    Blogg    Lurer du på hva GDPR er og hva det har å si for deg som bedrift?

Brett opp ermene og kom i gang med GDPR

GDPR er fire bokstaver som mange har fått et forhold til de siste månedene og innen 25. Mai 2018 skal alle bedrifter være godt i gang med å innrette seg etter det nye direktivet fra EU. Hvordan kommer du i gang, hva bør kartlegges og hvem skal involveres?

 

Kom i gang med GDPR

Det første man bør gjøre er å akseptere at dette er en jobb som må gjøres. Når man først har laget en plan for prosjektet og kommet i gang, vil man se at jobben faktisk er ganske overkommelig. GDPR er en forkortelse på General Data Protection Regulation. Enkelt forklart handler GDPR om å ha oversikt over hvilke personopplysninger bedriften behandler, sørge for at bedriften har grunnlag for å behandle de og at opplysningene blir behandlet på riktig måte.

 

Etabler en prosjektgruppe internt: involvering

Det første man bør gjøre er å sette sammen en gruppe internt som skal jobbe med GDPR. Det kan være lurt å involvere ulike deler av organisasjonen som IT, HR, ledelsen og marked. Det er tre grunner til at man bør kjøre prosjektet med interne ressurser: 

  1. Kunnskap: De ansatte kjenner systemene og har gode forutsetninger for en rask kartlegging 
  2. Valg av IT-systemer: Det kan være behov for å gjøre endringer på IT-systemer og for en smidig overgang er det viktig at de ansatte forstår behovet og blir involvert i prosessen.
  3. Rutiner: Det er de ansatte som skal følge rutingene som etableres og involvering i prosjektet kan sikre god gjennomføring på sikt.
 

Selv om prosjektet bør gjennomføres av interne ressurser kan det være behov for å benytte eksterne rådgivere for å forstå innholdet i direktivet og hvordan det berører din bedrift. Det er ikke til å legge skjul på at det er en krevende prosess å kartlegge alle systemer i en bedrift, men gevinsten av å inkludere ansatte i prosessen skal ikke undervurderes. Det er også en god anledning til å se på både arbeidsprosesser og revurdere systemer. 
 

Kartlegg interne systemer: oversikt og innsikt

Når prosjektet er etablert er neste steg å gå i gang med kartlegging og dokumentasjon. Man trenger en oversikt over alle systemer og må dokumentere blant annet hva som ligger i systemene og hvorfor det er nødvendig. Her er noen tips til hva du bør inkludere i kartleggingen:

  1. Inneholder systemet persondata? 
  2. Hvem har ansvaret for systemet internt?
  3. Hvorfor trenger man systemet?
  4. Hvem er behandlingsansvarlig og hvem er databehandler?
  5. Hva gjør systemet med dataene og hvilke andre systemer har tilgang til dataene?
  6. Hva er det lovmessige grunnlaget for at vi behandler dataene? (har vi lov til å behandle de?)
  7. Hvor lagres dataene? (Innland/utland. Dersom utland: hva er grunnlaget for eksport?)
  8. Finnes det rutiner for sletting?
  9. Er det gjennomført en risiko og sårbarhetsanalyse på systemet?
 

Krav til god datakvalitet

Bakgrunnen for kartlegging av systemer og data er å få oversikt og innsikt i infrastruktur, hvilken data man har og hvor den ligger lagret. Man må deretter vurdere om infrastrukturen er god, hvilken data man har grunnlag for å lagre og legge en strategi for hvordan man skal sikre at dataen er trygg og oppdatert. Her kan det lønne seg å bruke en masterdata strategi, hvor et system er master for flere systemer og at man eventuelt kutter unødvendige systemer. En bedre oversikt og datakvalitet legger til rette for innovasjon i bedriften. Det vil kunne ha klare fordeler for salg og marked i form av en mer effektiv og målrettet kommunikasjon, som både kunder og bedrifter er tjent med.

 

Krav til dokumentasjon

Det som lagres skal enten være relevant for gjennomføring av transaksjonen, være lovpålagt eller baseres på et samtykke fra eieren av opplysningene. Bedrifter må selv dokumentere og argumentere for hvorfor de lagrer aktuell informasjon på kunden. Når det gjelder bedrifter (B2B) er det viktig å huske på at en bedrifts informasjon ikke er persondata, men eksempelvis navn, telefonnummer og e-postadresse på en ansatt er å regne som persondata. Den må være oppdatert og korrekt og det må foreligge grunnlag til hvorfor den lagres. Det stilles strengere krav til sensitive opplysninger. Les mer om hva persondata er her.

Krav til sikkerhet

Innholdet i GDPR har helt klart en hovedintensjon og det er å sikre at personer får større kontroll på hvordan deres informasjon lagres og brukes, samt retten til å bli glemt eller slettet. Det blir også viktig å definere hvem som har ansvaret for dataen, hvem som har tilgang og at det er tatt nødvendige forhåndsregler for å hindre at kriminelle får adgang. Her står risikoanalyse ved implementering av nye systemer og et klart definert ansvar for dataene sentralt. Det åpnes for å gi  betydelige bøter ved brudd.

 

Analysere og iverksette tiltak

Når man har fått god oversikt over systemer og data internt i bedriften gjenstår det å gjøre en gapanalyse av hva som må til for å tilfredsstille kravene i GDPR. Deretter må man iverksette tiltak, lage dokumentasjon og etablere gode rutinger for å sikre at kravene overholdes i fremtiden. Det viktigste er ikke at man er 100 % i mål 25. Mai 2018, men man må ha kommet et godt stykke på vei og kunne dokumentere dette.

Les mer om GDPR:

Hva har GDPR å si for din bedrift?
Har du oversikt over dataene og hva er persondata?