Slik ivaretar du personvern i tråd med GDPR
Personvernsforordningen (GDPR) er en EU-forordning som Norge må følge. Målet er å styrke rettighetene til forbrukerne, og å gjøre det forutsigbart å drive næringsvirksomhet. Alle virksomheter skal ha en forståelig personvernerklæringInformasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte.
Vi har laget en fem-stegs-modell til hvordan du går frem:
Fase 1: Organisering
Det viktigste i fase 1 er å etablere en forankring i ledelsen og en bevisstgjøring rundt hva GDPR innebærer for virksomheten. Du må sett deg inn i og forstå hvilke krav som er relevante for deg og din bransje. Deretter må gjennomføringen av hele prosjektet forberedes og oppgaver delegeres i en planlagt organisering og struktur.
Fase 2: Kartlegging
Fase 2 skal sørge for at du får en oversikt over hvilke data som lagres, hvorfor og hvor. Hvilke IT-systemer er det virksomheten benytter seg av, både internt og eksternt, og hvordan behandler disse systemene personopplysninger. Vær oppmerksom på at personopplysninger ikke bare gjelder det som er lagret digitalt, det er også all annen dokumentasjon i arkiver som inneholder personopplysninger. Disse skal også føres opp og sikres.
Fase 3: «GAP-analyse»
En eventuell fase 3 vil være en «samsvarsanalyse». Hvor du står i dag basert på fase 1 og 2, og hvor stor er avstanden frem til en vellykket gjennomføring i fase 5 – altså hvordan vi skal komme dit. En GAP-analyse er primært for større selskap, men også mindre virksomheter kan ha såpass omfattende systemer og personopplysninger at en slik prosess er nødvendig. Dette er fasen hvor du eventuelt kobler på ekstern hjelp.
Fase 4: Handlingsplan
Hvem gjør hva, når?
Handlingsplanen definerer konkrete aktiviteter (mål) under hvert innsatsområde som er avdekket, hvem som har ansvaret og når det skal være gjennomført og med hvilket resultat.
Fase 5: Gjennomføring
Vi vet nå hvilke krav som er relevante for oss, hva vi lagrer og hvor, og hvem som skal gjøre hva og når. Da skal vi iverksette og levere som avtalt innenfor angitt tidsfrist. I tillegg har gjennomføringsfasen også løpende oppfølging for å håndtere eventuelle endringer som måtte komme, fange opp ny lovgivning, intern opplæring, og kontroll på at alt blir gjennomført. Slik sett kan man si at «GDPR» blir en løpende prosess i virksomheten gjennom året.