Persondata er gull verdt

Derfor må du holde styr på dem

Jens Nüchel Petersen. Foto: PETER HOLM FOTO

Ingen grunn til panikk over EUs nye personvernforordning. GDPR hjelper til med å gjøre persondata gull verdt.

 

Kravene i EUs nye dataforordning er overveldende for mange bedrifter, men å ta tak i GDPR-forordningen (se fakta) på en strukturert måte, er en god medisin mot datapanikk, sier sjefkonsulent i IBM.

Snart er det bare et halvt år til den nye versjonen av EUs persondataforordning (GDPR) trer i kraft. Likevel er mange bedrifter fortsatt i tvil om hva man skal gjøre for å leve opp til kravene i de nye regler, og ikke minst hva det vil koste.

 

Ingen grunn til GDPR-panikk

– Det er ingen grunn til panikk, selv om fristen nærmer seg, sier Jens Nüchel Petersen, sjefkonsulent i IBM.

Han mener at en god start er å vise ens medarbeidere hvor de kan finne viten om GDPR.

– Hvis du arbeider i en transportbedrift vet alle at det er regler for hvordan man håndterer lastbiler med tilhengere. På samme måte skal alle vite at der finnes noen regler for hvordan man oppbevarer og håndterer data om fysiske personer. Vi skal bare vite hvor vi kan gå hen for å finne informasjon, fortsetter Petersen.

 

Lær om GDPR

Han understreker at det er viktig at alle ansatte i selskapet får innsikt i prinsippene i GDPR, lærer om GDPR. Hvis kunnskapen bare når en eksklusiv gruppe av medarbeidere, blir sikring av persondata ikke en del av bedriftens forretningskultur.

– Man må få en bred forståelse av at fokus på sensitive persondata er et viktig område for bedriftens ve og vel. Derfor er det også viktig at ledelsen bakker opp, sier IBM-konsulenten.

– Man bør få på plass en rutine i bedriften at man analyserer hvilke konsekvenser det vil bli om man håndterer persondata galt. Det gjelder både når man endrer systemer eller når man starter opp noe nytt, fortsetter Petersen.

 

Hvilke data har du?

Sjefkonsulenten forstår at selskaper synes at det er uoversiktlig for mange å sette seg inn i et komplekst regelverk eller å finne ut av hvor man skal ta tak. Han anbefaler at man starter med persondata som har betydning for forretningen.

– Finn ut av hvilke data du har og hvordan dataflyten er i din bedrift. Samler man inn data man ikke har bruk for, eller har man informasjon man ikke har tillatelse til å ta vare på etter den 25. mai neste år? Deretter må man lage opp et sett med regler for datahåndtering. Det omfatter også de nødvendige sikkerhetsforanstaltninger som adgangskontroll, kryptering og anonymisering, hvor personnavn og andre opplysninger som kan identifisere den enkelte bliver adskilt fra følsomme data, sier Petersen.

Han understreker at de nye reglene er et fremskritt både for borgernes rett til privatliv og bedriftenes muligheter for at bruke data på en ansvarlig måte.

 

Nesten som før

– Det er ikke meget annerledes enn hva man allerede ser i finansnæringen og i medisinindustrien hvor der er blitt svært strenge retningslinjer og lover man må oppfylle. Alle bedrifter, databehandlere, dataansvarlige og "datatransportører" får et sett regler for hvordan de skal arbeide med data og informasjon, forklarer sjefkonsulenten.

– Det er på høy tid at lovgiverne nå kommer på banen, fortsetter han og viser til dagens GDPR-regler som stammer fra 1995.

– Der har jo skjedd litt med IT-teknologien siden den gang.

Et av de områder hvor den nye personvernforordningen vil gi strengere bestemmelser, er kravet om at selskapene må innhente samtykke fra brukerne og borgerne før man samler inn og behandler informasjon data. Derfor er også "samtykke" et godt sted å starte når man skal analysere dataflyten i sin bedrift.

 – Data er gull verdt og mange selskaper har i dag mye informasjon som er samlet inn gjennom mange år og i mange ulke sammenhenger, men GDPR har helt nye krav til samtykke fra kunder og brukere, for eksempel om man vil lage brukerprofiler ut fra deres personlige data. Det er også regler for hvor lenge man kan beholde og oppbevare data. Prinsippet er at man kun kan beholde data så lenge som det er nødvendig, slutter Petersen.

Annonse

GDPR - General data protection regulation

* EUs nye personvernforordning, som gjelder fra 25. mai 2018 og gjelder alle EU- og EØS-land. 

* Viderefører gammel forordning fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.

* Målet er å sikre borgeres, sluttkunders og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.

* Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.

* Vedtatt i EU-parlamentet 14. april 2016.

Annonse