Illustrasjonsfoto.

Foto

ksana Kazykina | Dreamstime.com.

GDPR innføres i dag

Tre av fire finner ikke igjen personopplysninger

Publisert: 20. juli 2018 kl 08.42
Oppdatert: 20. juli 2018 kl 08.43

Mens norske virksomheter stort sett er i feriemodus, innføres den nye GDPR-virkeligheten i dag, fredag 20. juli 2018. Det betyr at mange ledere vil komme tilbake til en ny arbeidshverdag - med innsynsbegjæringer og krav fra ulike hold om å bli slettet i ulike databaser og registre - og da gjelder det å ha kontroll på hvilke persondata virksomheten besitter.

Etter at Norge fikk utsettelse på implementeringen av EUs personvernforordning, GDPR,har prosessen skutt fart. I siste statsråd før sommeren vedtok regjeringen at den nye loven skulle tre i kraft her hjemme så raskt som mulig etter den formelle godkjennelsen i EØS–komiteens møte fredag 6. juli i år.

Den nye EU-loven, som i realiteten implementeres i sin helhet i norsk lov, går mye lenger enn tidligere når det gjelder å beskytte dine og mine data i en digital internettøkonomi. EU ønsker å ivareta informasjon om deg og meg som ligger lagret på servere rundt omkring, og denne informasjonen skal ikke kunne selges eller formidles videre.

I korte trekk dreier det seg om å begrense, eller i hvert fall regulere, muligheten for å utnytte personlig informasjon om enkeltbrukere til blant annet digital markedsføring og sosial kommunikasjon. GDPR endrer spillereglene, både på innsiden og utsiden av alle virksomheter, og derfor trenger man også nye løsninger.  

– Tre av fire nordmenn har opplevd å ikke gjenfinne informasjon de vet eksisterer på intranettet, i mailen eller i andre løsninger. For mange applikasjoner og for dårlige søkeløsninger er noen av årsakene. Mange virksomheter har fortsatt ikke kontroll på de ustrukturerte dataene, nå som GDPR–kravene er gjeldende, sier Lasse Ruud, daglig leder i itsoftware–bedriften Intellisearch.

Ustrukturerte data

Ruud og Intellisearch hjelper blant annet bedrifter med å finne GDPR–informasjonen som har kommet på avveie. Bedriften har gjennom mange år utviklet søkeløsninger som de nå har tilpasset slik at den mates med ord som forbindes med GDPR. Slik kan de finne det som bedrifter desperat leter etter, både før og etter at EUs forordning trer i kraft, ifølge Ruud.

Saken fortsetter under annonsen

– 70-80% prosent av en virksomhet sine data kan kalles ustrukturerte data og derfor er det avgjørende viktig å kunne ha oversikt over denne datamengden når virksomhetene og deres ledere nå blir ansvarlige for håndteringen av personlige data med krav om utlevering, rapportering og sletting, sier han.

Dersom du ikke har de rette rutinene eller virkemidlene spiller det ingen rolle når dette trer i kraft

– Vi har utviklet en egen software-løsning som kan hjelper bedrifter med å søke informasjonen de savner, men det er også viktig at bedriftene kan søke selv også har kontroll på hvilke data de besitter. Det gjelder å skaffe seg oversikt over informasjonen. Å holde oversikt over ustrukturerte data er veldig komplisert – GDPR er en gylden anledning til å skaffe seg oversikt og få kontroll, fortsetter Ruud.

Innsyn

Foto

Lasse Ruud hjelper bedrifter med å lokalisere GDPR–informasjon. (Foto: Bård Andersson)

I bedriftene er det gjerne noen utvalgte som sitter med oppgaven rundt å gjenfinne eller jobbe med GDPR informasjonen. Det er derfor også disse som vil kunne bli voldsomt belastet nå som folk har anledning til å be om innsyn i all informasjonen bedriftene har om dem. Når dette skjer gjelder det å være forberedt og å ha gode rutiner. Ellers kan det gå galt sier Ruud.

– Da starter problemene. Hvor er informasjonen? hva står i CRM–systemer? Har du personrelaterte opplysninger om personer i forbindelse med konferanser? Har du info om familietvister? Hva med sykdomshistorikk?

Saken fortsetter under annonsen

Han forteller om en skole, der en lærer opplevde en situasjon som etter hvert skulle bli vanskelig å håndtere:

– En lærer sendte en bekymringsmelding til barnevernet. Dokumentet ble lagret på datamaskinen på skolen og sendt til barnevernet. Barnevernet klippet ut dokumentet og lagret det på sin maskin. Dette førte til at dokumentet ble liggende åpent på skolens server samt i både inn- og utboks hos henholdsvis skolens og barnevernets eposter. Det finnes tusenvis av slike eksempler, understreker Ruud.

Han forteller at han har møtt på kommuner som er livredde for at de ikke er i stand til å levere ut all informasjon, dersom det begjæres innsyn i informasjonen de sitter på.

– Skremmende få vet omfanget av dette, eller er i stand til å håndtere det. Dersom du ikke har de rette rutinene eller virkemidlene spiller det ingen rolle når dette trer i kraft. Dette er ikke som år 2000-problemet hvor feilen ble oppdaget dag 1. For noen virksomheter vll det kunne ta år før de møter på det alvorlige problemet. Med GDPR vet man ikke når den dagen er. Dommen i Tyskland overrasket likevel mange, i lys av Facebook- og Cambridge Analytica–skandalen. Datatilsynet er ikke i utgangspunktet ute etter å gi folk bøter. Nå har vi lært om regler. Neste oppgave er handling, utdyper han.

Mange tror de er fritatt

Det har bredt seg en falsk trygghet blant bedrifter innen enkelte bransjer, som for eksempel noen eiendomsmeglere. Grunnen er at de tror de er fritatt for GDPR.

– Det er riktig at de dataene man har behandlingsgrunnlag for, og gode rutiner for, er GDPR-relaterte data man fortsatt kan besitte. Men de kan fort bli litt lurt, ettersom fritaket ikke gjelder de andre persondataene de besitter. De må uansett forklare hvorfor de sitter på informasjonen og hvordan de skal bruke den, forklarer han.

Saken fortsetter under annonsen

Ruud minner om at GDPR ikke er et IT–prosjekt, selv om praksisen med å gjenfinne informasjon i stor grad handler om 0–er og 1–ere.

– Mange vet ikke at det finnes løsninger som kan lokalisere hvert eneste ord i bedriften din, og synes dette høres overnaturlig ut. Søkemotorene bidrar til at vi både finner og forstår dataene bedre, fordi de blir smartere og gjør oss i stand til å forstå data i større grad. Så det eneste ansvarlige å gjøre, dersom du skal lokalisere GDPR–informasjon er egentlig å finne gode løsninger for å finne informasjonen, avslutter han.

Slik blir du klar for GDPR:
søn 20.02.2022 23:47

Tro på GDPR – en omdømmesak vil kunne koste virksomheten store beløp:

  • Ifølge Risk:Value–rapporten fra NTT Security tror 5 av 10 virksomhetsledere at GDPR ikke angår dem

  • Sannheten er at GDPR angår de fleste av oss, så om ikke du har satt deg inn i hva de nye personvernforordringene betyr for din virksomhet bør du gjøre det nå

Kartlegg dataene dine:

  • Få oversikt over de strukturerte og ustrukturerte dataene i din virksomhet

  • Ved å involvere de ansatte vil de ustrukturerte dataene bli mer oversiktlige, og nærmest virke strukturerte

Kutt i tredjepartssystemer:

  • Dette betyr ikke at dere ikke skal benytte dere av tredjepartsløsninger, men når oversikten over hvilke systemer det arbeides i lagres i og samspilles i, vil dere se behovet for å redusere

  • På den måten vil dere også få mer oversikt over alle data i virksomheten

Gå igjennom rutiner:

  • Ved sikkerhetsbrudd plikter du å varsle innen 72 timer til Datatilsynet og dem som kan være rammet

  • Gode rutiner for dette vil spare dere tid når en situasjon skulle oppstå

  • Rutiner bør også bestå av hvordan dere er i stand til å håndtere forespørsel om innsyn

Vurder gode søkeløsninger:

  • Gode søkeløsninger gjør det enklere å finne informasjonen dere sitter på – både i forberedelsen til GDPR og løpende når personvernforordningen er igangsatt

  • I tillegg vil det spare dere for mye tid i arbeidshverdagen,

  • noe som er kostnadsbesparende

Bonustips:

  • I dag finnes det løsninger som i større grad forenkler oversikten over både strukturerte og ustrukturerte data, og får alle dataene til å fremstå mer samkjørte

Kilder: Lasse Ruud / Intellisearch