fbpx
direktørsvindel

5 svar på 5 ofte stilte spørsmål knyttet til GDPR

Bare måneder før den nye loven trer i kraft har kunnskapen om GDPR blitt noe bedre, men fortsatt er det kun 4 av 10 som er forberedt. Her er 5 svar på 5 ofte stilte spørsmål vedrørende den forestående personvernforordningen.

Kunnskap omkring den nær forsteående nye personvernforordningen er fortsatt svært begrenset. Samtidig er spørsmålene mange. For ett år siden skrev Dagens Næringsliv at åtte av 10 bedriftsledere ikke vet hva GDPR (General Data Protection Regulation) innebærer. Bare måneder før den nye loven trer i kraft har kunnskapen blitt noe bedre, men fortsatt er det kun fire av 10 som er forberedt på GDPR. De som er godt forberedt kan få et konkurransefortrinn.

Bøter etter sommerferien?

Datatilsynet sier at de vil være i full sving med å håndheve den nye personvernforordningen etter sommerferien. Samtidig som gigantiske bøter kan true virksomheter som ikke har innordnet seg, er det viktig å være klar over at det å etterleve GDPR-reglementet er en reise og ikke en destinasjon.

Her er svar på fem spørsmål som ofte blir stilt vedrørende den nye personvernordningen

  1. Kommer jeg til å få bot hvis jeg ikke er klar til 1. juli?

Nei. Selv om Datatilsynet sier de vil være i full sving med å håndheve den nye loven fra etter sommerferien, så er det lite sannsynlig at de vil «svinge med pisken» ved første anledning. Samtidig er det fare for at organisasjoner som ikke har gjort noen forsøk på å tilpasse seg etter at den nye loven er på plass, vil stå i fare for en eller annen form for reaksjon. Spesielt hvis det gjelder dårlig håndtering av sensitive personopplysninger.

  1. Er det for sent å tilpasse seg til GDPR nå?

Definitivt ikke. GDPR må ikke sammenlignes med Y2K. Altså overgangen fra 1999 til 2000-scenarioet. Personvernforordningen er en pågående prosess som vil forandre seg og utvikle seg over tid. Det betyr at du har tid, selv om du starter nå. Det viktigste er å komme i gang med en plan og at du har i gangsatt konkrete tiltak i henhold til den nye forordningen. I det så ligger det en forventning til at du har på plass et dedikert team som har fått i oppgave å håndtere GDPR på en kontinuerlig måte.

  1. Hvor starter jeg?

Det er noen få praktiske skritt du kan ta for å komme I gang. Først og fremst må du forstå hvilke data du har, hvorfor du de dataene du har og hvor det lagres. Finn ut hvordan dataene flyter inn og ut av organisasjonen og fremskaff en oversikt på hvilke ansatte som har tilgang til hvilke data.

Deretter er det viktig å utføre en datarevisjon, hvor du klassifiserer dataene i henhold til den risikoen det utgjør.

Og når det er utført er det viktig å kartlegge sikkerhetskontroller og prosesser til dataene for å redusere risikoen. GDPR bygger på tidligere europeiske forordninger, så overholder du allerede disse, har du kommet langt på vei.

  1. Jeg har bedt om samtykke på e-post. Holder det?

Det er ett steg I riktig retning, men dessverre ikke nok. Den nye personvernforordningen handler om mye mer enn å få et ettertrykkelig samtykke fra kunder til å sende ut et nyhetsbrev eller på andre måter bruke personinformasjonen man har innhentet.

GDPR handler i større grad om databeskyttelse og ansvarlighet. Det vil si at du lagrer og behandler dataene du har opparbeidet deg på en sikker, forsvarlig og kompatibel måte. Det handler også om at du du har rett til å beholde dataene til en kunde, hvis du er pålagt å gjøre det av hensyn til regnskapet, garantiordninger, reklamasjon eller av andre lovmessige årsaker, selv om en kunde skulle kreve å bli glemt eller slettet. Dataminimering, altså at du ikke skal ta vare på mer data enn du strengt talt trenger og ikke lengre enn du trenger det, er et hovedprinsipp for reguleringen, men vær bevisst på hvor grensene går.

  1. Hva med mine leverandører og samarbeidspartnere?

Det enkle prinsippet er at du har ansvaret, uavhengig av hvilke underleverandører og samarbeidspartnere du benytter deg av. Ifølge KMPG har kun 1 av 10 globale selskaper kontrollert om deres leverandører er i samsvar med den nye personvernforordningen. Dagens komplekse økosystem bestående av skytjenester, tredjepartsaktører, underleverandører og partnere, gjør dette arbeidet spesielt omfattende.

GDPR som et konkurransefortrinn

Som nevnt i det første spørsmålet er det viktig å kunne demonstrere at man har kommet i gang. At man har fått på plass et dedikert team til å håndtere GDPR. Og tar du prosessen seriøst, kan tilnærmingen være en god mulighet til å skaffe deg et konkurransefortrinn ved å skille deg ut fra dine konkurrenter.