Fortsatt mangelfull kontroll på GDPR

Seks uker før GDPR trer i kraft er det flere ting som tyder på at en del virksomheter fortsatt har et stykke å gå for å være klar til det nye EU-regelverket etter planen trer i kraft 25. mai.

Direktør for internett og nye medier i IKT Norge, Torgeir Waterhouse, sier hans inntrykk er at mange fortsatt mangler oversikt over data de behandler.

- Vi vet jo for eksempel fra en stor internasjonal studie fra et par år tilbake at i en typisk bedrift er det mellom 17 og 22 flere skytjenesteter i bruk enn de ansvarlige er klar over og har godkjent. Og bare vet man at vi har en lang vei å gå, fordi du er ansvarlig for de dataene du har, ikke bare de du vet om, men de dataene du faktisk besitter og behandler, sier Waterhouse til Infotjenester.

Ta GDPR på alvor

Waterhouse er en av foredragsholderne Lederdagen 3. mai, som i år tar for seg praktisk GDPR for ledere. Hans budskap til deltakerne vil være å ta GDPR på alvor.

- Dette handler om bunnlinjen i bedriften eller organisasjonen. Det handler om å være en seriøs aktør når data er så sentralt i det man driver med, og det handler om å ta på alvor de menneskene som er rundt en. Data på avveie kan være alt fra litt irriterende til noe som stopper livet til folk. Så her skal man virkelig forstå hvilke data man behandler, forstå alvoret i det og hva det betyr for driften.

Hvordan blir forskjellen for arbeidsgivere når vi passerer 25. mai?

- Man skal forholde seg likt til GDPR hver dag etter 25 mai. Mange tror tilsynelatende at det bare er å gjøre et eller annet riktig til 25. mai, så er det greit. Det er det ikke. GDPR handler om hva du gjør hver eneste dag fra og med nå. Det du også skal være klar over er at de aller færreste kommer til å være helt klare til 25. mai. Det skal man ikke bruke som grunn til å ikke gjøre noe. Jeg ser at noen er også opptatt av at det kanskje blir forsinket i Norge, og at man ikke trenger å gjøre noe enda. Det er bare tull. Man skal begynne å jobbe med det, og holde fokus og trykk oppe, så kommer man i mål når man kommer i mål. Her handler mye om å dokumentere hva man gjør og hvilke vurderinger man gjør. Så må man ha fokus på å rigge driften så man er i tråd med kravene i GDPR, og de er ikke urimelige, selv om noen hevder det, sier Waterhouse.

Enkle søk i Faghjelp

Også innholdsansvarlig for Faghjelp, Anders Engen Sandén i Infotjenester, mener mye tyder på mange har kommet kort i forberedelsene til GDPR. Han sier søkene i det nettbaserte oppslagsverket Faghjelp Personvern i arbeidsforhold tyder på at mange fortsatt jobber med helt grunnleggende problemstillinger.

- De mest brukte søkefrasene i Faghjelp tyder på at mange ikke har kommet i gang med de konkrete arbeidsoppgavene. Mange søker fortsatt etter helt generelle termer som GDPR, EUs nye personvernregler og personvern. De siste ukene har det riktignok spisset seg til noe, ved at flere søker etter ting som databehandleravtale, oppbevaring av personalmapper og personvernombud. Men fortsatt er dette i veldig liten grad, sier Sandén.

Datatilsynet håper folk er i gang

Datatilsynet sier de ikke har full oversikt over hvor langt norske bedrifter har kommet, og hvorvidt det er mange som fortsatt ikke er i prosess rundt GDPR i det hele tatt.

- Vi håper at de fleste kjenner til det nye personvernregelverket som kommer 25. mai. Nå er det bare seks uker igjen, så de fleste bør være godt i gang med forberedelser. Det er viktig å gjøre seg kjent med reglene og lage gode, nye rutiner som gjelder hele virksomheten. Dette er et lederansvar. For å komme i stand i tide til loven trer i kraft er det viktigste dere kan gjøre å kartlegge alle personopplysninger virksomheten behandler i dag. Dette kan være opplysninger om både kunder og ansatte. Vi anbefaler alle å gjøre en særlig innsats med å dokumentere alle vurderinger og lage skriftlige rutiner for hvordan virksomheten behandler personopplysninger. Lag også gjerne felles retningslinjer for hvordan aktørene i din bransje behandler personopplysninger, såkalte bransjenormer. Da slipper alle å finne opp hjulet hver for seg. Vi har lagt ut mye informasjon og veiledninger på våre nettsider www.datatilsynet.no, opplyser Janne Stang Dahl i Datatilsynet.