Torgeir Waterhouse, direktør nye medier i IKT-Norge
GDPR handler om mye.
GDPR handler om den store usikkerhet og de store mulighetene. GDPR handler om det store ansvaret og store bøter. GDPR handler om den dårlige tiden og advokater som står klare. GDPR handler om alle rutiner, roller, regler og lover som skal skrives om, kommuniseres og forstås på nytt. GDPR handler om ludittene blant databehandlerne og ledere som tror GDPR er et teknologiprosjekt.
G d p hva?
GDPR står for General Data Protection Regulation - og er EUs forordning for personvern. Det betyr at vi får nye regler for personern - med et regelverk som gir virksomheter mange nye plikter, og enkeltpersoner nye rettigheter.
Først og fremst handler GDPR om et behov EU har sett for å tydeliggjøre og re-etablere balansen mellom menneskene data er om og de forskjellige aktørene som benytter dataene til forskjellige formål.
Det betyr blant annet at GDPR er grunnleggende for drift av enhver organisasjon eller bedrift i Norge. Styret og eiere, ledere og fagansvarlige, alle må forstå prinsippene og bakgrunnen for GDPR. Alle må forstå og lederne må ta ansvar, ta ansvar nå.
Uansett hvilken inngang man velger til å forstå og beskrive GDPR så handler det om den ansvarlige forvaltningen av andre menneskers data, om mulighetene til samfunnsutvikling og om verdiskaping med data.
Det er én gruppe som vil ha en relativt grei prosess frem mot GDPR begynner å gjelde fra 25 mai 2018 - det er de aktørene som i dag vet sikkert at de behandler data og at de forskjellige rollene er både oppdaterte og utover ansvar i tråd med dagens regulering.
Vet du det?
Mange, antagelig de fleste, har mye å gjøre.
Som med all annen regulering er det forarbeider, selve teksten, tolkninger, veiledninger med mer. Det er god grunn til at flere i din organisasjon setter seg grundig inn i de relevante dokumentene.Inntil da skal du få noen viktige hovedpunkter her:
Med GDPR får alle norske virksomheter nytt ansvar. For noen er det mye for andre er det mindre. Uansett hva det betyr for din virksomhet må de verifisere det, du må gå gjennom alt og finne ut hva det faktisk betyr.
Innsamling og behandling av data skal være basert på et lovgrunnlag eller samtykke. Samtykke skal også kunne endres eller trekkes like enkelt som det ble gitt.
Alle som behandler data, og det er i realitet alle, skal ha en lett tilgjengelig, dekkende og ikke minst forståelig personvernerklæring.
Alle skal vurdere risiko og personvern konsekvenser ved all databehandling. Er det stor risiko, skal Datatilsynet kontaktes for forhåndsdrøftelser av risikohåndtering.
Innebygdpersonvern er et krav til alle nye løsninger, det innebærer i praksis at løsningene skal gi så godt personvern som mulig og at de mest personvernvennlige innstillingene skal være satt som standard.
Mange virksomheter må opprette personvernombud, alle virksomheter burde innstille egen drift som om de måtte.
Leverandører som er databehandlere får også ansvar. De plikter for eksempel å varsle oppdragsgiveren om de får bestillinger som er i strid med GDPR og oppdragsgiveren må godkjenne eventuelle underleverandører. En leverandør kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiveren for behandling av data i strid med GDPR.
Avvik skal varsles, det vil si at avvik skal varsles. Nettopp det er slik at er det avvik så skal berørte og Datatilsynet varsles.
Data skal slettes dersom noen ber om det, og slettes betyr slettes, ikke for eksempel merke som slettet. Så er det data som andre lover krever at ikke slettes, feks kan noen be om at data slettes fra CRM mens de samme dataene kan måtte bli værende i regnskapssystemet etter krav i regnskapsloven.
Dataportabilitet er også et krav, det betyr at de som ønsker det skal få data utlevert. Utlevert i et hensiktsmessig format slik at de også kan tas inn i et annen løsning enn den de ble opprettet i.
Det er mer også - mye mer - derfor kommer du også til å høre mer om GDPR fremover. I lang tid fremover.
Og om noen skulle være i tvil:
GDPR er ikke et IT-prosjekt som kan lempes på IT-direktøren eller den innleide konsulenten som kommer innom lokalene nå og da for å holde orden på IT-løsningene.
GDPR er heller ikke et juss prosjekt eller en utredning du skal sette bort til en advokat.
GDPR er ledelsens ansvar og det betyr at det må bli et løp for hele organisasjonen frem til 25. mai neste år.
Etter den datoen er fortsetter jobben - med et viktig arbeid i det daglige for å lykkes med drift og databehandling i tråd med kravene GDPR stiller.
(GDPR er nevnt 19 ganger over her. Det sier noe om viktig GDPR er. Følg med!)