EU-regler krever oppgjør med "wild west"-datakultur

Finansdirektørene styrer GDPR-klargjøringen

EU-forordning Persondataforordning, dokumentasjonskrav, persondata, GDPR

Kommer man for sent i gang med GDPR-forberedelsen, er som å bestille vinterdekk etter at snøen har falt, mener Lars Jacobsen, sjefredaktør i Computerworld Danmark. Foto: Presse

Finansdirektørene leder ofte arbeidet med å gjøre bedriften klar for GDPR – og må regne med blod, svette og tårer for å komme i mål. Det er bare å brette opp ermene – det dreier seg både om å sikre omdømmet og å unngå store bøter.

 

– Jeg hører stadig finansdirektører og IT-direktører si at GDPR ikke kommer til å bety så mye for vår virksomhet, for de har kun litt data rundt lønn- og personal, og de dataene har de god kontroll på, sier Lars Jacobsen.

I tillegg til å være sjefredaktør i danske Computerworld, er han en mye brukt konferansier og ordstyrer på faggruppemøter og konferanser om blant annet GDPR, EUs nye personvernforordning.

Redaktøren advarer mot å ta lett på innføringen av den kommende EU-forordningen, som også blir innlemmet i den nye, norske personvernloven.

– Jeg bruer å spørre i retur om de har oversikt over alle fritekstfeltene i sin bedrifts CRM- eller HR-system? Om sekretæren aldri har sendt en fellesmail om at Camilla overtar langtidssykemeldte Runes oppgaver? Om de uten problemer kan identifisere og slette persondata fra alle systemene? Og hvor mye av dette de kan dokumentere, fortsetter Jacobsen.

Prosesser og dokumentasjon skal på plass

GDPR trer i kraft den 25. mai 2018 og stiller mange vidtrekkende krav til blant annet registrering, sikring og behandling av personsensitive data og at man kan dokumentere at man lever opp til GDPR-kravene. På toppen kan grove regelbrudd gi bøter på opptil fire prosent av selskapets globale omsetning.

Kombinasjonen av bøtenivået og dokumentasjonskravet gjør at ansvaret for bedriftens GDPR-arbeid ofte ligger hos finansdirektøren.

Ikke nok at IT-systemer og leverandører understøtter GDPR

Bo Flemming Bay er direktør for EGs GPDR-program. Han forteller at EG får svært mange henvendelser fra kundene om hvordan de skal forholde seg til hvordan EG behandler deres data.

– Som finansdirektør bør man jobbe svært målrettet med å bli GDPR-klare. Er man ikke i gang allerede, så er det på tide å begynne. I første omgang for ens kunders, medarbeidere og omdømmets skyld. Dernest fordi man etter hvert vil begynne å bøtelegge GDPR-brudd. Det er det ingen tvil om, fortsetter Bay.

EG-direktøren sier at om man ikke er teknologisk sterk nok til å lede GDPR-arbeidet, bør man la en annen ansatt eller prosjektgruppe stå for fremdriften.

– Husk på at det vil ta en stund før alle IT-systemene støtter GDPR, og man må huske på at IT-prosesser ikke er nok om et selskap skal overholde EU-forordningen. Man må også jobbe strukturert internt, blant annet for å identifisere hvilke persondata som skal behandles og hvilke prosesser som skal  automatiseres i den sammenheng, sier Bay.

 ”Du blir ikke 100 prosent ferdig – så gå i gang med de viktigste områdene først”

Bo Bay anbefaler at man prioriterer GDPR-innsatsen slik at man arbeider målrettet med de viktigste områdene i selskapet hvor personsensitive data lagres og behandles.

– Det er også en god idé å alliere seg med for eksempel bransjeforeninger og hovedorganisasjoner, som IKT-Norge, Abelia, NHO eller Virke. De har mange seminarer og har utarbeidet en lang rekke råd og veiledninger, sier Bay.

– GDPR er et omfattende regelverk, og skal  jeg være helt ærlig, så er det nok kun de færreste selskaper som rekker å bli hundre prosent GDPR-klar til den 25. mai. Men man kan – og bør – komme svært langt på de viktigste områdene. På et tidspunkt vil myndighetene, Datatilsynet for Norges del, starte med GDPR-revisjoner. Da bør man ha mest mulig på stell, fortsetter Bay.

EG-direktøren tror at mange selskaper opplever at den nye EU-forordningen kommer på feil tidspunkt og at man heller skulle brukt ressursene på andre ting.

– På den andre siden er formålet med GDPR fornuftig. Det er ingen tvil om at forordningen er både positiv og nødvendig i forhold til å sette fokus på IT-sikkerhet og behandling av persondata, tilføyer Bay.

Ta et oppgjør med "wild west"-datakultur

Både redaktør Jacobsen og GDPR-direktør Bay understreker at GDPR-innsatsen langt ifra er et IT-prosjekt.

– Det handler i stor grad om bedriftskultur, om hvem som arbeider med data, hvordan de arbeider med data og hva som blir lagret. Til nå har selskaper registrert alt mulig om kunder, potensielle kunder, nåværende og tidligere ansatte og så videre. Det har ikke kostet noe å samle på disse dataene, så hvorfor bruke ressurser på å sortere og slette informasjon. Mange selskaper har en "wild west"-datakultur, mener Jacobsen.

– Men nå er det slutt. Etter 25. mai 2018 skal man ha et klart formål om man skal ta vare på persondata, hvem som har tilgang til dem og når man ikke har bruk for dataene lenger, skal de slettes. Det skal også være en tydelig beslutnings- og ansvarslinje som prosedyrene i organisasjonen, fra support og hele veien opp til finansdirektøren, fortsetter redaktøren.

Starter man for sent er det som å bestille vinterdekk etter at snøen har falt

– Det er ingen grunn til å få GDPR-panikk, selv om det er en stor oppgave å bli GDPR-klar. Om man arbeider strukturert og målbevisst med dagens personvernlovgivning, er fundamentet på plass og man vil med overkommelig innsats komme i mål med å følge GDPR. Motsatt, om man venter for lenge med å starte GDPR-arbeidet, blir det som om man bestiller nye vinterdekk etter at den første snøen har falt, sier Jacobsen.

– Som finansdirektør har du absolutt ikke lyst til å få selskapet plukket ut til GDPR-revisjon hvis man ikke har kontroll over dataene. Dels for selskapets og kundenes skyld. Dels fordi det ikke akkurat er karrierefremmende å være ansvarlig for en IT-skandale som verserer i mediene med millionbøter til selskapet, slutter Jacobsen.

Annonse

GDPR - General data protection regulation

* EUs nye personvernforordning, som gjelder fra 25. mai 2018 og gjelder alle EU- og EØS-land. 

* Viderefører gammel forordning fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.

* Målet er å sikre borgeres, sluttkunders og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.

* Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.

* Vedtatt i EU-parlamentet 14. april 2016.

Andre leser også
Annonse