For øyeblikket går tilpasningsprosjekter til GDPR med høy hastighet, men hvordan ser du tilpasningsarbeidet etter 25. mai (eller 1. juli i Norge)?
Den siste tiden før GDPR trer i kraft er det mange tilpasningsprosjekter som kjører med høy hastighet. Kanskje kommer du fra nok et avstemningsmøte der dere kunne konstatere at systemleverandøren ikke vil klare å komme med den nye versjonen før mai. Eller kanskje har du nettopp hatt en lang diskusjon om hvilken databehandleravtale som skal brukes – din eller den andre partens. Kanskje jobbes det på spreng for å utforme eller kvalitetssikre alt fra styrende dokumenter til prosessbeskrivelser og maler for eksempelvis hendelsesrapportering i deres prosjekt, og du er midt i rekrutteringsprosessen for et personvernombud. Uansett hvor du er i arbeidet ditt, kan det føles som om mai (juli) er uendelig langt borte – men samtidig skummelt i nærheten, med høsten som en ukjent tåke i det fjerne.
Utfordringen for de fleste organisasjoner nå er faktisk høsten. Ja, egentlig tiden fra regelverket trer i kraft og utover. GDPR 2019 – hvordan ser det ut? Hva jobber dere med da? 2020? Her bør mange organisasjoner allerede nå løfte blikket og se fremover (til tross for alle møter om avtaler og annet). Konkrete spørsmål å tenke på er for eksempel:
Hva er det langsiktige målet med personvernarbeidet deres? “Vi vil bare slippe å få bøter” er en ganske vanlig kommentar på dette spørsmålet, og selvfølgelig er det viktig initielt, men hvordan sikrer du at du fortsatt unngår bøter i de kommende årene? Hvem i organisasjonen holder styr på kompletterende lovgivning, avgjørende dommer og ulike standarder som sannsynligvis vil komme i raskt tempo i de kommende årene? Og hvor enkelt er det for dere å endre på arbeidet og oppsettet deres når nye direktiver kommer? Noen organisasjoner ser GDPR som et konkurransefortrinn – de bør spørre seg hvordan de skal opprettholde denne fordelen. Hvordan sikrer dere at dere fortsatt er best i klassen?
Hvem vil drive det daglige arbeidet i organisasjonen? De fleste har nå innsett at GDPR-tilpasning ikke er en engangsjobb, men at oppi alt som skjer i hverdagen skal konsepter som «privacy by design» og «hensiktsmessig databeskyttelse» håndteres i praksis. Hver organisasjon må kunne demonstrere hvordan de har gjort det. Tror du at GDPR er noe som deres personvernombud kommer til å løse så må du tro om igjen! Arbeidet og ansvaret er så mye bredere enn det. Hvilket ansvar har en innkjøper i din organisasjon for å sikre at det nye IT-systemet også kan slette personopplysninger i henhold til de nye rutinene? Hva er forventningene til de ansatte om de mottar e-post med personopplysninger? Hvordan vet utvikleren hvilken krypteringsløsning som er tilstrekkelig sikker når man utvikler nye webtjenester? Undervurder ikke arbeidet med å definere hvem som forventes å ta ansvar for de ulike delene av den daglige virksomheten.
Hvordan skal ledelsen være informert om og fatte beslutninger om organisasjonens risikoeksponering? For de organisasjonene som har eller planlegger å utnevne et personvernombud, blir ombudet en naturlig kanal for ledelsen når det gjelder å forstå organisasjonens arbeid og modenhet. For andre organisasjoner er det kanskje ikke så klart hvem som skal rapportere, samt når eller hvordan ledelsen vil få informasjon om risikoeksponeringen knyttet til GDPR. Et konkret eksempel kan være om 3-4 år, når en intern evalueringsrapport viser at effektiviteten av de sikkerhetstiltakene du har gjennomført i løpet av prosjektet, kanskje ikke er tilstrekkelig, men å øke sikkerheten vil være svært kostbart. En slik beslutning er en ledelsesbeslutning, gitt risikoeksponering kontra kostnadene for å løse problemet. Hvordan havner dette på agendaen?
Forfatter: Sofia Arveteg
Oversetter: Maria Haug Edvardsen