Bruk personvern til å få oversikt over dine forretningsprosesser

Et halvt år til du må være GDPR-klar

Persondata er guld værd

Arbeidet med å leve opp til det nye lovverket i EUs persondataforordning (GDPR) er langt fra bare et spørsmål om å bygge nye IT-systemer med bedre sikkerhet. Skal man sikre at man lever opp til de nye, skjerpede personvernreglene, bør man ta utgangspunkt i forretningsprosessene som involverer persondata.

Det mener Søren Wolder, advokat og partner i DAHL Advokatfirma og spesialist på persondatalovgivning.

– De nye reglene gjør at bedrifter og myndigheter i enda større grad må tenke på persondata, data som de bare har til låns i en gitt periode. Deretter må man akseptere å slette eller tilbakelevere opplysningene, sier Wolder.

Han understreker at for å leve opp til reglene (compliance), må man få et overblikk over forretningsprosessene hvor man bruker persondata.

– Som virksomhet må man sikre seg at man har hjemmel til den databehandling man foretar seg og at man overholder prinsippene som er nedfelt i lovverket. Husk på at det ikke er IT-avdelingen som bestemmer hvordan data brukes. Det skjer tvert om ute i selskapets ulike avdelinger, som ofte har bedt om å få automatisert en forretningsprosess. Den oppgaven har man i mange tilfeller overlat til en IT-avdeling, som styrer kun den tekniske og sikkerhetsmessige side av saken. IT-avdelingen vet nødvendigvis ikke hvilke opplysninger som samles inn, hvordan de brukes eller hvem som skal ha adgang til dataene. Det gjør forretningsenhetene, sier advokaten.

 

Personvernprosjekt

Han ramser opp tre gode råd til hvordan man skal gå i gang med arbeidet for å leve opp til de nye EU-reglene.

– Først, sørg for at arbeidet er forankret i  selskapet. De aller fleste bedrifter har ikke tidligere forhold seg til denne problemstillingen. De aner ikke hvilke data de har samlet inn, hvordan informasjonen blir brukt eller hvem de eventuelt har som underleverandører. Der finnes ofte ikke noen struktur som gir det nødvendige overblikk, sier Wolder.

Han understreker at man bør starte med et eget implementeringsprosjekt hvor den første, viktige oppgaven er å finne hvem som har ansvaret for å drive prosjektet frem, og det må være både nødvendige midler og ressurser til rådighet.

– Man kan ende opp med et stort eller et lite prosjekt, men der må være et eierskap, som også bakkes opp av ledelsen, fortsetter han.

 

Databehandlingsaktiviteter

Hans andre råd er at man lager en oversikt over ens databehandlingsaktiviteter.

– Når man kartlegger bruken av personopplysninger får man samtidig et bilde av sine forretningsprosesser. Det gir et overblikk over hvilke utfordringer man står overfor, hvor data er lagret, hvor kritiske ens data er, og hvordan dataene interagerer med andre databehandlere, sier Wolder

Advokatens tredje råd lyder:

– Lag en risikovurdering for hver enkelt forretningsprosess, som involverer behandling av persondata. Vurderingen innebærer at man er mye bedre rustet når man skal ta stilling til hvilke foranstaltninger man skal sette i verk for å sikre sine data.

Han sier at man med en risikovurdering også bedre og mer kvalifisert bestemme seg for hvilket ambisjonsnivå man vil legge seg på.

– Mange mener nok at man skal ha et system som er akkurat godt nok til at man får godkjent om revisorene eller Datatilsynet banker på døren for en kontroll, sier Wolder.

Han anbefaler at man i stedet ser på persondataforordningen som en strategisk mulighet, som gir høyere tillit hos kundene, når de ser på hva man gjør for å sikre dataintegritet. Samtidig peker han på en rekke negative konsekvenser hvis data bliver kompromittert.

 

Bøtelagt datalekkasje

– EUs persondataforordning gir mulighet for å utstede bøter ved datalekkasje. I visse tilfelle er det også rapporteringsplikt hvis bedriften opplever et sikkerhetsbrudd. Det kan føre til dårlig omtale. Man kan også få påbud om å stoppe en bestemt prosess, inntil man har brakt forholdene i orden. Og hvis det rammer ens kjerneaktivitet, har man for alvor et problem, sier personverneksperten.

– Man kan altså se på personvernforordningen med to øyne, fortsetter Wolder.

– Man kan velge å bare fokusere på å leve opp til reglene. Eller man kan bruke GDPR til å rydde opp i ens IT-systemer og/eller optimalisere ens forretningsprosesser. Kanskje oppdager man at man kan unnvære ulike prosess eller man kan rydde opp i noen prosesser og gjøre andre ting smartere samtidig som man minimerer risikoen for at data blir kompromittert, slutter Wolder.

Annonse

GDPR - General data protection regulation

* EUs nye personvernforordning, som gjelder fra 25. mai 2018 og gjelder alle EU- og EØS-land. 

* Viderefører gammel forordning fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.

* Målet er å sikre borgeres, sluttkunders og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.

* Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.

* Vedtatt i EU-parlamentet 14. april 2016.

Annonse