6 trinn for GDPR compliance

Veien mot GDPR-compliance kan virke lang og kronglete. Går du imidlertid systematisk til verks med hele organisasjonen i ryggen, er sjansene gode for at du blir compliant i tide. Vi tar en titt på hva du bør gjøre for å ligge foran skjema i din bransje.

planleggingsmote.jpg

1. Kommuniser viktigheten av GDPR-compliance

Først og fremst er det avgjørende at hele organisasjonen forstår viktigheten av å bli GDPR-compliant. Hvis du skal lykkes med å få innvilget ressurser og tid til arbeidet, må du ha ledelsen og hele organisasjonen med på laget.

Det er naturlig å starte med å kommunisere konsekvensene av å bryte GDPR. Men vel så viktig er det å fremheve de positive sidene ved ligge foran skjema: Du får ryddet opp i systemer, og ikke minst forbedret dataflyten gjennom tiltak som går på tvers av organisasjonen.

Det er også smart å se lenger frem enn mai 2018. Understrek at arbeidet for å bli compliant ikke bare handler om å nå en tidsfrist, men også om å få på plass systemer som skal fungere over tid. Arbeidet som blir lagt ned nå blir grunnlaget for løsninger som skal brukes i flere år fremover.

2. Få oversikt over eksisterende systemer og løsninger

En stor del av forberedelsene mot GDPR-compliance er å kartlegge sine eksisterende systemer og løsninger, og å sikre at man har gode databehandler-avtaler på plass med leverandørene av disse systemene. For skybaserte tjenester er det spesielt viktig å spørre leverandøren hvor og hvordan dataene dine blir lagret og hvem som har tilgang til de.

3. Få oversikt over data

For å få bedre oversikt, bør du kategorisere, merke og tagge alle data. Det gjør at du får et bedre bilde av omfanget, og det gjør det også lettere å gjennomføre en nødvendig GAP-analyse.

Det er mye å ta hensyn til og mange forskjellige typer data som du skal få oversikt over. Hvilke type informasjon lagrer du på ulike kunder og ansatte? Hvor blir informasjonen registrert? Hvem har tilgang til informasjonen? En god oversikt skal gi svar på disse spørsmålene.

4. Legg opp til samarbeid på tvers av organisasjonen

Veien mot GDPR-compliance er ikke bare et prosjekt som IT-avdelingen skal involveres i. For at prosessen skal bli så god som mulig, bør fagpersoner med forskjellig kompetanse inkluderes. Får du HR og juridisk med på laget blir det lettere å vurdere risikoer og eventuelle konsekvenser.

Hvis du ikke har juridisk ekspertise innad i organisasjonen, er det å anbefale å søke juridisk rådgivning eksternt. Det er ikke her du skal forsøke å spare penger ved å ta advokat-praksisen i egne hender. Tvert imot bør du legge inn ressurser i det juridiske arbeidet, slik at du kan forsikre deg om at organisasjonen din holder seg på rett side av loven.

5. Gjennomfør en GAP-analyse

Målet med en GAP-analyse er å få en oversikt over hvor langt organisasjonen er fra å bli GDPR-compliant, og deretter lage en konkret handlingsplan for å komme i mål og nå full compliance.

gap-handlingsplan.png

Analysen avdekker om dagens systemer er i tråd med regelverket som kommer, og om det er behov for flere tiltak.

Systemene du benytter skal være i stand til å støtte de registrertes rettigheter. Husk at registrerte personer skal ha rett til å:

  • nekte profilering og automatiserte avgjørelser
  • motsette seg en behandling
  • begrense en behandling

I tillegg styrkes «retten til å bli glemt», en sletterettighet som du må kunne etterkomme i praksis.

6. Implementer endringer

Det siste steget mot compliance er å etablere planer og implementere prosedyrer, basert på kartleggingsarbeidet som har blitt gjort.

Du bør sette sammen en plan for hvordan organisasjonen skal gjennomgå og oppdatere prosedyrer, og hvor ofte det skal skje. Her er det avgjørende at alle ansatte får instrukser om hvordan data skal behandles, slik at nye rutiner opprettholdes.

Prosedyrer, tiltak og trening i forbindelse med GDPR må dokumenteres, slik at du står godt rustet ved en eventuell inspeksjon. Som nevnt tidligere bør du søke juridisk hjelp for å være helt sikker på at du har dokumentasjonen i orden.

Du kan også oppleve at systemene du benytter i dag ikke er kompatible med de nye kravene som skal innføres. Heldigvis finnes det flere systemer som kan hjelpe deg med å lagre og registrere data slik at du kommer nærmere GDPR-compliance. Nye løsninger kan gjøre arbeidet med å bli compliant atskillig lettere, men skal du bytte ut hele systemer er det viktig at du starter så tidlig som mulig, ettersom det som oftest er en tidkrevende prosess.

Christian Holthe

Christian Holthe, 07. juli 2017

Christian Holthe er VP Security & Operations hos CatalystOne Solutions. Med lang erfaring innen IT-sikkerhet og skyløsninger, har Christian en sentral rolle i sikkerhetsarbeidet hos CatalystOne - både internt i organisasjonen og for de programvareløsningene vi utvikler og leverer.