Personopplysninger er i dag å finne i de aller fleste IT-systemer, rutiner og arbeidsprosesser i en moderne virksomhet. Dette kan være alt fra navn og kontaktinformasjon på ansatte og kunder, til IP-adresser, kjøpemønster eller helsedata.

Den nye personvernforordningen (GDPR) fra EU setter en helt ny standard for hvordan all behandling av slike personopplysninger skal foregå. Regelverket stiller en rekke konkrete krav til informasjon, kartlegging, analyser, dokumentasjon, sikkerhet og oppfølging.

Selv om GDPR ved første øyekast kan virke omfattende og byråkratisk, handler mye om å bruke sunn fornuft og etablere gode rutiner. Grunntanken er å sikre enkeltindividets rett til personvern og kontroll over egne data.

Etterlevelse må skje på alle nivåer

Det overordnede ansvaret ligger alltid hos ledelsen. Men ettersom nesten alle prosesser i en virksomhet typisk involverer personopplysninger, må etterlevelse skje på alle nivåer i organisasjonen. Derfor er det viktig at alle ansatte forstår prinsippene i GDPR og følger retningslinjene.

Et naturlig første skritt for personvern i praksis er at virksomheten foretar en detaljert kartlegging av all behandling av personopplysninger. Hvilke typer data samles inn, fra hvem, til hvilket formål og hvordan lagres og brukes de? Hvordan deles data internt eller med tredjeparter? All bruk av databehandlere og underleverandører må dokumenteres gjennom databehandleravtaler.

Videre må personvernarbeidet ses i sammenheng med IT-sikkerhet og beredskapsplaner. Virksomheter som ikke sikrer personopplysninger, risikerer at disse går tapt eller misbrukes. Det vil være et klart brudd på GDPR. Derfor må dataenes flyt og lagringspunkter kartlegges sammen med tilganger, sårbarheter og generell IT-sikkerhet. Beredskapsplaner for håndtering av avvik er også en viktig del av helheten.

Nøkkelpunkter for god etterlevelse

Når virksomheten har utført kartleggingen, må man analysere risiko og sårbarheter på en strukturert måte. Ut fra dette kan virksomheten identifisere hvilke tiltak som må iverksettes for å redusere risiko til et akseptabelt nivå. Dette kan inkludere endring av rutiner, opplæring, innføring av ny teknologi eller andre sikkerhetstiltak.

Nøkkelen til suksess er å se etterlevelse som en kontinuerlig prosess. Avvik og sikkerhetshull vil uunngåelig oppstå. Disse må meldes og følges opp gjennom gode rutiner. Målet er løpende forbedring basert på erfaring. Opplæring av ansatte i personvern og IT-sikkerhet er også helt avgjørende.

Selv om GDPR tidvis kan oppleves krevende å etterleve, handler det i bunn og grunn om å sette personvernet i system. Dette skjer gjennom mange små, men viktige skritt som til sammen løfter rutinene og bevisstheten rundt et så viktig tema. Det krever utholdenhet og fokus fra ledelsen, men resultatet er økt trygghet for ansatte, kunder og virksomhetens omdømme.

Lykke til med arbeidet!