Den nye personvernloven som berører tilnærmet hele verden er rett rundt hjørnet, og så lenge en er borti persondata som tilhører et EEA individ må du være på riktig side av GDPR. Hva er GDPR spør du? Begynn med å lese en av våre tidligere artikler her.

 

Datamapping

En av de første tingene som må gjøres er å gå over alt av persondata man har, hvor det er, hvem som har tilgang, hvordan dataen beveger seg - slik at man får et kart over omfanget. Det kan på mange måter gjøre saken lettere, om man har et hovedsystem en forholder seg til. Man må organisere alle kilder til persondata, behandlingen av disse og oppbevaringen av disse. På denne måten får man avklart hvorfor man har lov til å ha de dataene en har, og hvor lenge en kan ha de. Det er også en god måte å avklare behovet for hvor en trenger å opprette databehandleravtaler.

For å gjøre det enkelt for alle involverte parter å forstå, så kan det være greit å sette opp et flytdiagram, eller et visuelt “datakart”. For å se hvor pilene fører, og gjøre det enkelt for alle å finne tilbake til kilden for dataen eller å vite hvor dataen går videre om de brukes til et spesifikt formål. Det er dog ikke en erstatning, men et greit supplement.

 

Risikoanalyse

Når man har fått oversikt over data, må man ta en risikobasert vurdering av alle disse. GDPR krever at man kjører en DPIA. Verktøyet man bruker for dette er vanligvis en PIA-modell.

image001.jpg

 

Her ser man på alvorlighet vs. hyppighet av persondataene. Så jobber man seg gjennom, hvilke persondata havner i grønn sone? Gul sone? Rød sone? Og hvordan skal en oppbevare disse, er det noen man ikke trenger, må man kryptere mer data? Kan alle på jobben hverandre sine passord? Da er det på tide å gjøre noe. Det er mye dokumenter å få dette på plass, men når det er på plass, så er man klar for tilsyn - om det skulle skje. Det kan lønne seg å sette opp en god kjøreplan på hvordan en skal gå frem.


 

Rutiner

Rutiner er alltid kjekt å ha, for er de på plass så har prosesser en mulighet til å gå sømløst eller automatisk. Så det er viktig å få på plass dokumentasjon på at ting er i henhold til regelverket. Eksempelvis kan man se på en viktig rutine som må på plass, og det er om det skjer avvik. Er noen persondata på avveie? Da har du 72 timer på å varsle alle berørte og datatilsynet. Du skal varsle de, stoppe lekkasjen eller problemet, og så begrense omfanget så godt det lar seg gjøre. Med gode rutiner, så går dette helt fint. Andre områder det kan være lurt å ha rutiner rundt når det kommer til GDPR er overføring av data til tredjeland, og rutiner for vasking av lister.

 

Fornyelse av samtykke

La oss si du har samlet inn en haug e-postadresser og navn ved hjelp av konkurranser på Facebook, og dette er kjernen til markedsføringen i bedriften din.  Dersom man da sender ut nyhetsbrev eller annen informasjon til kunder, så må man på nytt be om samtykke til dette. GDPR krever at man tydelig kan dokumentere alle måter en kommuniserer med målgruppene sine på.

Et annet veldig sentralt punkt i GDPR er at en har krav på privacy by default. Det betyr i praktisk at alle og enhver må aktivt godta det en ønsker - det kan ikke være noen slu setninger, ikke ferdig utfylte bokser og ikke “ja, jeg godtar til alt du ønsker ved å bare trykke på denne ene knappen”.

Det må også være en tydelig instruks og mulighet for avmelding, for eksempel i bunn av hver mail, og gjerne en lett tilgjengelig side på nettsiden din - det gjør ting lettere for alle parter.


MTI IT Service stiller med kompetanse og software
for å gjøre GDPR-reisen din lettere - klikk her.