mette blanner om GDPR 2019

Mette Blanner om GDPR 2019

Mette Blanner, Partner i PersondataSupport, deler bedriftene inn i 3 grupper basert på hvordan de forholder seg til GDPR. De tre gruppene har ulike utfordringer i forhold til GDPR i 2019.

 

Her er tredelingen:

Gruppe 1: De som har gjort et godt stykke arbeid, og er trygge på at de oppfyller kravene. For disse er utfordringen å komme inn i rutiner for løpende vedlikehold.

Gruppe 2: De som har gjort en del, men ikke har full kontroll på det hele. Disse bør fokusere på å «tette hullene».

Gruppe 3: De som avventer, og har gjort lite eller ingenting. De håper på å slippe kontroll eller at de kan gjøre skippertak i siste liten dersom de får beskjed om kontroll.

Blanner har noen tips til hvordan hver gruppe bør gripe fatt i GDPR i 2019.

 

Gruppe 1:

Dette er gruppen som er best stilt. De har gjort et solid stykke arbeid i 2018 og føler seg sikre på at de har kontroll.

  • For mange av disse har det først nå gått opp for de hvor vanskelig det er å vedlikeholde. Mange av disse bedriftene ser etter muligheten til å ha en løpende «GDPR-compliance», og løpende fokus, sier Blanner.

Hva er dine anbefalinger til denne gruppen?

  • Det er at de setter opp noen ledelseskontroller, og sørger for å ha det som en del av virksomhetens «årshjul». De kan sette opp ulike kontroller månedsvis, kvartalsvis og årlig, sier Blanner.

Hva skal man da typisk kontrollere?

  • At de ansatte sletter data fra Outlook løpende, at de har ryddige skrivebord slik at det ikke ligger ark med persondata der, at alle makulerer personopplysninger på papir på riktig måte og så videre. En gang i året er det også fint å sjekke at deres fortegnelse er oppdatert, og gjennomgå nye risikovurderinger, sier Blanner.

På samme måte som man har økonomiske kontroller, er det på tide å få inn GDPR-kontroller.

  • Og det er viktig at man bruker gode verktøy, ikke Excel-ark, sier Blanner.

PersondataSupport leverer en portal med en egen modul for akkurat denne oppfølgingsdelen, som deres «Gruppe 1»- kunder kan bruke. I tillegg er det mange kunder i denne gruppen som kjøper bistand fra PersondataSupport.

  • Mange ønsker at vi gjennomfører en revisjon av deres GDPR-arbeid, og at vi kommer med rapporter og erklæringer på at alt er i orden. I tillegg ønsker de at vi kommer med forslag til plan for løpende vedlikehold, og utfører de første kontrollene, sier Blanner.

Hvorfor ønsker de at dere gjennomfører de første kontrollene?

  • Fordi vi har styr på hvordan slike kontroller skal gjøres. Målet er ofte at de selv skal gjennomføre kontrollene i fremtiden, men de vil leie inn profesjonell hjelp i første runde. Det gjør at de lærer hvordan de på best måte kan gjennomføre kontroller, forklarer Blanner.

Hva gjør dere typisk i en slik kontroll?

  • Vi ser over at de har alt i orden. Vi tester og spør medarbeiderne om de kjenner reglene, og vi drar ut til bedriften og observerer at vi ikke ser noe som Datatilsynet ville reagert på under en kontroll. Vi pleier også å ringe opp personer i bedriften anonymt og for å se om vi kan få de til å utlevere personopplysninger, sier Blanner.

 

Gruppe 2:

Denne gruppen har gjort et godt stykke GDPR-arbeid i 2018. De har imidlertid ikke full oversikt, og er ikke sikre på om de har gjort alt de skal.

  • Her er det viktig å avdekke og tette hullene. Ettersom de ikke er helt sikre selv, bør de leie inn hjelp til å få oversikt, sier Mette Blanner.

Når vi snakker med Mette Blanner har hun nettopp vært ute hos en kunde som kan plasseres i «Gruppe 2».

  • Kunden som jeg har vært ute hos hadde mange dokumenter og prosessbeskrivelser rundt hva de samler inn og hva de sletter. De fortalte de hadde brukt 400 timer på GDPR-arbeid i 2018, sier Blanner.

Og likevel var det ting som manglet?

  • Ja, de hadde ingen fortegnelse over behandlingsaktiviteter og ingen risikovurdering. Og det må være på plass dersom Datatilsynet kommer på kontroll, sier Blanner.

De trengte derfor hjelp til å få tettet de siste hullene, så de er sikre på at de oppfyller regelverket.

  • Det gode med bedriftene i «Gruppe 2» er at de tar det seriøst, og de vil gjerne etterleve regelverket. De har ofte ikke kompetansen internt, hvilket har hindret de i å komme i mål. I slike tilfeller burde de leie inn noen eksternt, sier Blanner.

Når denne gruppen har tettet hullene sine, møter de på de samme utfordringene som beskrevet for «Gruppe 1». Da er målet å få til løpende kontroller, slik at de kan sikre at de kontinuerlig oppfyller regelverket.

 

Gruppe 3:

Denne gruppen har rett og slett ikke gjort noe, de avventer.

  • En del av disse sier at de er i gang, men de er egentlig ikke det. Kanskje har de gjort en liten del, men de har ikke tatt GDPR seriøst nok, sier Mette Blanner.

Er det mange av disse?

  • Min magefølelse sier at det er bekymrende mange, kanskje halvparten. Her i Danmark har Datatilsynet allerede begynt å dele ut bøter, og jeg er oppriktig bekymret på mange bedrifters vegne, sier Blanner.

Enkelte av disse har gjort noe?

  • Kanskje har de slettet noe data, men så har de glemt dokumentasjonsdelen. De har gjort såpass lite, at disse må begynne helt fra starten, sier Blanner.

Hvilke råd har du til disse?

  • De må få GDPR inn i budsjettet sitt for 2019, for dette må det brukes tid på. Heller før enn senere, sier Blanner.

Noen virksomheter setter GDPR-arbeidet ut til én person, men det anbefaler ikke Blanner.

  • Enten må virksomheten utdanne de ansatte selv, eller så må de leie inn ekstern hjelp. GDPR kan ikke settes ut til én administrativ person. Det er administrerende direktør som kan risikere fengsel dersom Datatilsynet kommer, og GDPR-arbeidet skal være forankret i ledelsen og gå nedover i virksomheten, sier Blanner.

PersondataSupport har utviklet en portal for å hjelpe bedrifter med GDPR compliance. Portalen er brukervennlig, intuitiv og krever ingen forkunnskaper. Den skal veilede virksomheten gjennom arbeidet.

  • Hvis man først starter nå, burde man starte med et godt verktøy. I tillegg burde man vurdere om man skal leie inn hjelp, sier Blanner.

Det er nok lurt å være rask for å komme i mål. I Danmark har Datatilsynet allerede begynt med kontroller og dele ut bøter. Les mer om hvordan kontrollene foregår, og hva det deles ut bøter for i neste GDPR-bloggpost.