Hvordan forholde seg til GDPR i hverdagen

Har du en jobb-epost? Da er det sannsynlig at du oppbevarer persondata. GDPR angår hver og en av oss, men retningslinjene må komme fra ledelsen. Mette Blanner i PersondataSupport deler hennes tips om hvordan man kan forholde seg til GDPR i hverdagen.

GDPR er en ny måte å tenke på, som angår oss alle.

• PR var ikke noe som «skjedde» før en spesiell dato, eller på en spesiell dato. GDPR er et nytt lovverk som er blitt innført, som bedrifter må forholde seg til hver dag. Det tar tid å sette seg inn i nye rutiner og nye måter å tenke på, så det burde fremdeles være fokus, sier Mette Blanner, Partner i PersondataSupport.

Må forankres i ledelsen

GDPR angår oss alle. Vi håndterer personopplysninger på en eller annen måte. Personopplysninger kan ligge lagret i e-post, i filer, i datasystem, skrevet på et ark osv. Det er ytterst få som går gjennom et arbeidsliv uten kontakt med personopplysninger

Men det er ikke hensiktsmessig at hver enkelt av oss leser og tolker lovverket.

• GDPR må forankres i ledelsen, og så må strategien komme ovenfra. Samtidig er det viktig at alle medarbeidere får tilstrekkelig opplæring, og at det kontrolleres at reglene følges, sier Mette Blanner og legger til.
• Det bør legges til rette for et opplæringsløp for medarbeidere, på lik linje med at de får opplæring innen andre felt, sier Blanner.

For å sikre kontinuerlig fokus anbefaler hun også at de er fast punkt på agendaen på morgenmøter, ledelsesmøter og andre møter.

Epost strategi

Et eksempel som angår de aller fleste medarbeidere er e-post. Mange har tusenvis av e-post i innboksen, fra flere år tilbake. Hva er en typisk e-post man ikke bør ha lagret?

• Det kan være opplysninger om tidligere kunder, eller tidligere ansatte, som man ikke har lovhjemmel for å oppbevare. La oss si at en tidligere medarbeider har sendt en epost for tre år siden om at de er hjemme på grunn av sykdom. Da er ikke det en e-post som bør ligge i din epost. HR skal sørge for å lagre lovlig og nødvendig informasjon i sine systemer, og slik informasjon bør ikke ligge lagret i en innboks, sier Blanner.

Hvordan kan man sikre at ingen personopplysninger ligger lagret i noen ansatte sin innboks?

• Det mange firmaer gjør er at de setter retningslinjer. For eksempel «vi sletter alle e-poster som er eldre enn to år», og/eller «vi sletter all e-post fra tidligere ansatte», sier Blanner.

Hvordan kommer man frem til at det skal være eldre enn to år?

• Det kommer man frem til ved evaluering. La oss si at ditt firma bygger store båter, og et prosjekt kan ta opp til flere år. Da kan det forsvares å oppbevare e-poster datert mange år tilbake. Det kan det ikke på samme måte dersom du selger måltidskasser levert på døren. Dersom ingen har kjøpt en måltidskasse av deg på to år, kan du anta at de ikke lenger er kunde av deg, sier Blanner.

De fleste firmaer PersondataSupport har jobbet med har laget seg retningslinjer for hvordan de skal rydde i innboksene, samt hvordan medarbeidere skal håndtere e-post videre, for å sikre at persondata oppbevares hensiktsmessig.

Etter å ha laget en retningslinje er det også viktig å følge opp.

• Vi anbefaler at det opprettes kontroller, hver måned eller kvartal, hvor det tas stikkprøver i bedriften for å sikre at reglene blir fulgt, sier Blanner.

Først kom «Big data», så GDPR

«Big data» har vært et trend-ord i flere år. Tanken om at det lønner seg å samle mye data om kunder, medarbeidere, prosesser osv., og så bruke dataene til markedsføring, salg, og ulike optimaliseringer.

• Det er nok noen som synes GDPR spente ben for deres strategier rundt å bruke data, sier Blanner.

GDPR stiller krav til veldokumenterte samtykker, og dette har ikke alle firmaer vært like flinke til å samle.

• Du kan for eksempel ikke sende ut en markedsførings-epost til noen som ikke har gitt skriftlig samtykke til at de ønsker å motta en slik mail, sier Blanner.

En del firmaer opplever derfor at persondata som de tidligere brukte, og gav dem verdi, ikke lenger kan brukes uten å bryte loven. Viljen til å innrette seg etter det nye lovverket, opplever Blanner som varierende.

• De fleste av våre kunder ønsker å følge loven som best det går. Likevel ser vi at andre selskaper har noe ulik vilje til å ville innrette seg etter den nye loven. Og denne viljen er det som i størst grad avgjør hvilke firmaer som blir gode på GDPR og ikke, sier Blanner.

Det er dog fullt mulig å samle data og bruke det strategisk, samtidig som man følger GDPR reglene

• Til syvende og sist er GDPR et godt lovverk. Den bidrar til større gjennomsiktighet, styrker individets rettigheter og får kontroll på hvordan persondata oppbevares og brukes. Det ligger fremdeles mye verdi i å kunne samle inn og bruke data, man må bare sikre at man følger reglene, sier Blanner.

Det er ikke for sent

Blir du fremdeles blir litt stresset av å høre ordet GPDR, eller er usikker på om ditt firma «følger boken»? I så fall er det gode nyheten at det ikke er for sent til å bli bedre. GDPR er fremdeles i innkjøringsfasen, og det er få kontroller foreløpig. Dere har tid til å forbedre dere.

Som IT konsulentselskap er det ekstra viktig å være foregangseksempel. Ettersom dere jobber med å forbedre prosesser ute hos kunde ved hjelp av programvare, trenger dere kjennskap til GDPR.

PersondataSupport leverer GDPR Portalen; et verktøy til implementering av GDPR i virksomheten, helt fra kartlegging og risikovurdering til utarbeidelse og oppbevaring av dokumentasjon for overholdelse av GDPR, samt styring av løpende kontroll.

PersondataSupport er Gull Partner under årets ALSO Cloud Basecamp. De kommer til å stå på stand under dagen, og holde produktpresentasjon på scenen. Kom innom standen og få en live demo av GDPR-Portalen.

Yandeh Khan

https://www.alsosoftware.no/author/yandehkhan/

Relaterte innlegg

5 Verktøy en markedsføringskoordinator bør vite om

10. august 2021

20 Years after the Love Bug Virus: Too many phish in the sea!

11. mai 2021

Kom i gang med pakketering av skytjenester

13. april 2021

Kom i gang med Windows Virtual Desktop

24. februar 2021