Haster å bli klar for EUs nye personvernlov

Les erfaringene fra nesten 100 GDPR-prosjekter

GDPR EU personvernlov Jan Sandtrø

Lønnsomt: Et GDPR-prosjekt kan gi kostnadsreduksjoner, sier GDPR-ekspert Jan Sandtrø, Foto: Colourbox.

Advokat Jan Sandtrø og DLA Piper har bistått i nesten 100 GDPR-prosjekter. Her summerer han hva man bør gjøre – og hva man ikke bør gjøre.

 

I praksis er det bare påsken og 17. mai som står mellom oss og innføringen av GDPR – EUs nye personvernforordning. Den nye personvernloven trer i kraft den 25. mai 2018.

I disse dager gjennomføres det mange prosjekter i selskaper og organisasjoner for å dem klare for GDPR, men fortsatt sitter en del selskaper på gjerdet og avventer GDPR-arbeidet.

Jan Sandtrø i advokatfirmaet DLA Piper, er en av Norges beste advokater på GDPR-området og har hjulpet nesten hundre virksomheter til å bli klar for personvernforskriften.

Hans erfaring er at GDPR-prosjekter kan gjennomføres på forholdsvis kort tid, normalt mellom én til tre måneder, om virksomheten setter av nok ressurser og med rådgiverne som stiller med nødvendige verktøy og hjelpemidler for at prosjektet skal kunne gjennomføres på en god måte.

– Et GDPR-prosjekt er noe man må gjennomføre, men gjort på riktig måte er det ikke et omfattende prosjekt, men skal man bli ferdig til 25. mai 2018, så bør det startes så snart som mulig, understreker Jan Sandtrø, teknologiadvokat og partner i DLA Piper.

 

EGs GDPR Assistant støtter arbeidet med å bli klar for GDPR. Les mer her.

 

Den erfarne GDPR-advokaten sier at GDPR-prosjektene koster omtrent det samme som mindre IT-prosjekter.

– Benyttes det rådgivere, for eksempel advokater, som har erfaring med tilsvarende prosjekter, bør det ikke påløpe mer enn 100–150 timer bistand fra advokatene for en mellomstor virksomhet, avhengig av hvor mye arbeid virksomheten selv gjør, sier Sandtrø.

 

Positive effekter

Det kan synes unødvendig å gå i gang med et GDPR-prosjekt, men DLA Piper-partneren understreker at GDPR-prosjektene tilfører mye positivt til virksomhetene i form av bedre kontroll på behandling av personopplysninger og andre rutiner. De kan også redusere kostnader og gir mindre risiko knyttet til databrudd og andre brudd på personvernreglene, som igjen reduserer risikoen for bøter og omdømmetap.

Sandtrø sier at det vanligvis ikke løper det vesentlig mer timer i større virksomheter, fordi antallet problemstillinger normalt er likt for mellomstore og store virksomheter.

– Det tar bare mer tid å implementere i større virksomheter, fortsetter Sandtrø.

 

Rundt 80–90 prosent av problemstillingene vil være de samme i alle selskaper og organisasjoner, så det er stor grad mulig å overføre kunnskap og erfaringer mellom prosjektene Jan Sandtrø, DLA Piper

 

Under kan du lese hans råd.

 

Velprøvd og god metodikk er avgjørende

Det må benyttes en metodikk som er velprøvd, god og som passer for GDPR-prosjekter, for at prosjektene ikke skal skli ut i tid og kostnader. Man bør undersøke om rådgivere som benyttes har en metodikk som passer for GDPR-prosjekter, og at de har erfaring med å bruke metodikken på tilsvarende prosjekter.

 

Les Jan Sandtrøs artikkel om GDPR-metodikk her.

 

Mange problemstillinger går igjen. Rundt 80–90 prosent av problemstillingene vil være de samme i alle selskaper og organisasjoner, så det er stor grad mulig å overføre kunnskap og erfaringer mellom prosjektene. Derfor bør man bruke rådgivere som har arbeidet på mange tilsvarende prosjekter, som har laget maler og standarddokumenter.

For at prosjektene skal kunne gjennomføres effektivt og med riktig kostnad, må det foreligge maler, verktøy og eksempler før prosjektet starter. For det meste av GDPR-prosjektet skal det ikke være nødvendig å utarbeide dokumenter, sjekklister, maler, regler, rutiner, prosedyrer og så videre, fra grunnen av.

 

Utnytt mulighetene i GDPR

GDPR gir også mange muligheter. Ved å ha øye for mulighetene ved starten av prosjektene, kan også GDPR medføre besparelser og reduserte kostnader. I prosjektene vi har bistått er kostnader redusert som følge av sanering av IT-løsninger, at lagringsmåter er blitt optimalisert, at sikkerhetskopiering er blitt vurdert på nytt, at dert er ryddet i arkiver der både fysiske og elektroniske er blitt fjernet og data slettet, arbeidsmåter og prosedyrer er blitt forbedret og dermed frigjort kapasitet og så videre. Vi har også sett at gjennomgang av kundelister og økt kvalitet på data, blant annet i CRM-systemer, har ført til økt omsetning for virksomhetene. Man må kontakte eksisterende og potensielle kunder, noe som kan gi ny- og mersalg.

 

Slik får du digital konkurransekraft.

 

Unødvendig rapport

Ved compliance-prosjekter kan det skrives en rapport etter kartleggingsfasen for å vise hva som er avvikene. Dette er etter vår erfaring unødvendig tid- og ressurskrevende. Benytt heller en mer smidig tilnærming ved at man enten utbedrer avvik fortløpende (enkelte avvik gjelder for alle virksomheter, så dette utbedres så snart prosjektet starter), eller at man lager en avviksliste/oppgaveliste/statusliste, som det arbeides med fortløpende parallelt med andre aktiviteter. Til slutt i prosjektet kan det gis en rapport som bekrefter at alt er utbedret, men dette bør ikke være omfattende og kan ha karakter av en sjekkliste.

 

Manglende dokumentasjon

De fleste selskaper mangler rutiner og dokumentasjon, hvilket er naturlig siden GDPR stiller krav til noe annen dokumentasjon enn tidligere krav. Dette er dokumentasjon som skal bekrefte at rutiner og prosedyrer er implementert. Det forutsettes at rutiner og prosedyrer er implementert for at dokumentasjonen skal være på plass. Slik dokumentasjon må implementeres, og som nevnt over, er det en fordel å benytte rådgivere som har slik dokumentasjon som kan tilpasses.

 

Vi har også sett at gjennomgang av kundelister og økt kvalitet på data, blant annet i CRM-systemer, har ført til økt omsetning for virksomhetene Jan Sandtrø, DLA Piper

 

Ting tar tid

Implementeringen av prosedyrer og rutiner i organisasjonen tar tid, og dette er ikke oppgaver som kan sette ut til rådgivere. Husk at dokumentasjonen er kun bekreftelse på at implementering har skjedd, så for å ha tilstrekkelig dokumentasjon på plass, så forutsettes det at rutinene og prosedyrene for å behandle personopplysninger i overensstemmelse med lovverket (GDPR) er på plass i organisasjonen og er en del av den daglige virksomheten.

Sett av nok ressurser. Det er helt avgjørende at virksomheten setter av tilstrekkelig ressurser til prosjektet. Spesielt for kartlegging og implementering er det virksomheten selv som må stille med det vesentlige av ressurser og gjøre det meste av arbeidet. Rådgiverne er avgjørende for å stille riktig verktøy og rådgivning til rådighet i disse fasene for at kartleggingen og implementeringen skal gå effektivt, men gjennomføringen må virksomheten selv gjøre.

Ikke tro at programvare eller IT-systemer kan gjøre en klar for GDPR. IT-systemer kan gjøre det enklere å oppfylle enkelte krav i GDPR, men vil aldri være tilstrekkelig til at man er i overensstemmelse med GDPR. Det er behandlingen som skjer i virksomheten (ikke systemene) som er det avgjørende.

 

Databehandlere er ikke klare

Mange databehandlere er ikke klare for GDPR, og de har verken dokumentasjon eller databehandleravtaler klare. Dette gjelder også for større globale selskaper og dette kan skape problemer for behandlingsansvarlige som vil bli klar for GDPR. Da er det viktig at virksomheten selv har databehandleravtaler klare til å få inngått med databehandlerne (og nei, Datatilsynet har ikke laget en slik mal, men rådgivere med erfaring vil normalt ha slike maler klare).

 

Hva er en databehandler og en databehandleravtale?

En databehandleravtale er en avtale mellom en behandlingsansvarlig og en databehandler. En behandlingsansvarlig er den som bestemmer at personopplysninger skal samles inn og behandles, og hvordan disse skal behandles. For eksempel vil et selskap som har ansatte være  behandlingsansvarlig for personopplysninger for de ansatte, opplysninger som eksempelvis er knyttet til lønnsutbetaling. Dersom selskapet bruker et annet selskap for lønnsutbetalinger, som Bluegarden, Visma eller andre, så vil disse være databehandlere, siden de behandler personopplysninger på vegne av den behandlingsansvarlige.

 

Stopp i tide

Man trenger ikke bli mer enn GDPR-compliant. Derfor er det viktig at prosjektet dreier seg om målet: Å komme i overensstemmelse med GDPR. Så prosjektet må ha klart for seg når det er i mål og skal stoppes. Hvor omfattende prosjektet skal være er avhengig av hvilken risikoprofil som virksomheten har valgt for GDPR. Det kan være grunner til å fortsette prosjektet for å oppnå andre fordeler, men det bør være egne prosjekter adskilt fra GDPR.

 

Innfri ditt digitale potensial. Slik kan EG hjelpe deg.

 

Artikkelen ble først publisert på Sandtro.no.

Annonse

GDPR - General data protection regulation

* EUs nye personvernforordning, som gjelder fra 25. mai 2018 og gjelder alle EU- og EØS-land. 

* Viderefører gammel forordning fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.

* Målet er å sikre borgeres, sluttkunders og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.

* Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.

* Vedtatt i EU-parlamentet 14. april 2016.

Annonse
Annonse