GDPR trådte i kraft for over fem år siden, men ikke alle kom seg ut av startblokka i 2018 og noen har snublet kraftig underveis.
Vi som har jobbet med etterlevelse av GDPR siden 2018, og vel så det, har lært mye underveis. Mange av oss har erfart at GDPR-prosjektet fram mot 1. mai 2018 feilet, men at det gikk an å få til noe høvelig likevel i runde to. Med rett og risikobasert inngang til personvernarbeidet, kan mange komme langt i arbeidet med å legge til rette for et godt personvernarbeid med enkle midler.
Personvernarbeid er en kontinuerlig prosess hvor man kommer kanskje aldri kommer helt i mål. Det er likevel ikke noe man kan gjemme seg bak om man ikke kom riktig ut fra startstreken for fem år siden. Vi ser og hører mange som har sittet på sidelinjen og kjent på stikk av dårlig samvittighet når problemstillinger knyttet til GDPR og personopplysninger med jevne mellomrom dukker opp i overskriftene i avisene, på seminarer eller i møter. Ikke minst når man kan lese om Datatilsynets tilsyn og påfølgende bøter mv.
Ikke alle behandler personopplysninger som en del av sin kjernevirksomhet, eller har behov for avansert markedsføring som nødvendiggjør vanskelige vurderinger. Likevel har de aller fleste behov for et «GDPR-program» og mange pådrar seg betydelig forretningsrisiko ved å ikke ha det.
De fleste av våre kunder har behov for å ha gode verktøy for dokumentasjon og vurderinger, og noen få, men gode prosesser som ansatte lett kan følge for å håndtere ulike situasjoner.
Vi ser at mange på kort tid – og uten å legge ned alt for store ressurser – kan gå fra å være i brudd med grunnleggende krav i GDPR (som gjør at personvernet til de berørte kan være betydelig svekket og at man løper stor forretningsrisiko eksempelvis ved et tilsyn) til å oppnå et betraktelig lavere risikonivå for selskapet og de personene man behandler personopplysningene til.
Her er våre beste tips for å bli med i GDPR-løpet igjen dersom du er usikker på om du har god nok kontroll:
- Skaff deg en fornyet innsikt i hva GDPR handler egentlig om. Det er kanskje ikke akkurat det du har antatt. Kanskje er det mye enklere enn du tror. Søk råd hos noen som kan hjelpe deg i gang.
- Har du god systematikk for styring av andre områder i selskapet? Bygg GDPR-prosesser inn dine eksisterende prosesser og strukturer. Det gjør det mye lettere for ledere og ansatte å forstå og etterleve prosessene.
- Bruk gode maler for GDPR-spesifikk dokumentasjon. Eksempelmaler er lett tilgjengelig hos Datatilsynene. Også det britiske datatilsynet ICO har mange gode engelskspråklige ressurser dersom du har behov for det.
- Ikke glem opplæringen. Det er de ansatte som skal stå for selve etterlevelsen. De ansatte trenger ikke å ha innsikt i hele personvernforordningen, men de må vite hva som gjelder for dem. Det er et lederansvar å gi dem hjelpen de trenger.
Synes du fortsatt det virker vanskelig?
Agenda Risk kan hjelpe deg på veien. Ta kontakt så bistår vi deg med å komme på banen igjen.
Ingrid Barth Pettersen er sosialantropolog fra Oslo med mer enn 10 års erfaring fra virksomhetsstyring, internkontroll, compliance og risikostyring både i det offentlige og private. Ingrid har de siste årene arbeidet i Elkjøp og før dette i TINE der hun arbeidet med virksomhetsstyring, strategisk risikostyring, støtte og opplæring i risikostyring i TINE og hos datterselskap, samt i utvikling av verktøy og systemer. Ingrid har vært personvernombud i både TINE og Elkjøp og har betydelig erfaring og kompetanse innenfor dette området.