Mange bedrifter og organisasjoner var under et enormt press, da de hastet med å få på plass systemer og prosesser som skulle gjøre det mulig for dem å innfri kravene til GDPR før forordningen trådte i kraft. For mange var presset så stort, at de ikke klarte å planlegge lenger enn til selve lanseringsdatoen, annet enn bare der GDPR krevde det. Med fullt fokus på «overholdelse», overså også de fleste at GDPR kan virke positivt på selskapet og skape en omdømme-boost: både blant ansatte, kunder, leverandører – og til og med hos tilsynsmyndighetene.
Denne «siste liten»-holdningen til overholdelse av kravene, gjorde det i tillegg vanskelig for mange å få et langtidsperspektiv på GDPR-planleggingen – hvordan en organisasjon bør ivareta GDPR-posisjonen sin og beholde den som et konkurransefortrinn overfor kundene.
GDPR-relaterte situasjoner og spørsmål
Vet medarbeiderne dine hva de kan og ikke kan gjøre, nå som forordningen har trådt i kraft? Vi har sett eksempler på at supportmedarbeidere gir GDPR skylden for at de ikke kan svare utdypende. Grunnleggende misforståelser har dermed ført til at kunderelasjoner har blitt lidende. Vi har også hørt om at helsepersonell som skulle gi influensavaksiner ved en skole, ble nektet innsyn i barnas personopplysninger grunnet frykt for GDPR-brudd. Akkurat det tilfellet viser hvor viktig det er å få på plass tverretatlige eller konserninterne avtaler innenfor GDPR-rammeverket.
Viktigheten av dataforvaltning
Sent i 2017 fikk Centre for Economics and Business Research (CEBR) og Opinium i oppdrag av CGI Storbritannia å utføre en undersøkelse, og å skrive en rapport om GDPR-holdningene og hva slags forberedelser som ble gjort i forkant av at forordningen trådte i kraft. Opinium intervjuet 250 britiske bedrifter hvor 29 prosent av respondentene var fra selskaper med mer enn 2499 ansatte, og 72 prosent fra selskaper med mer enn 249 ansatte.
Ett av spørsmålene tok for seg hvor trygge de ansatte var på bedriftens evne til å fremlegge gode forretningsmessige grunner til å lagre personopplysninger. Svarene var sprikende.
For å kunne holde styr på dataene sine, må bedrifter behandle dem på samme måte som de behandler eiendom, kjøretøy og aksjer. Først da kan man sørge for å oppnå alle fordelene en GDPR-omstilling kan gi.
Normalisering av GDPR
Et viktig steg på veien til å lykkes med GDPR-arbeidet, er å slutte å behandle det som en egen uavhengig prosess. Har du et kundesenter, er for eksempel ikke oppgaven deres å «utføre» GDPR – de skal hjelpe kundene dine og ta dem gjennom sikkerhetspunkter. Når du får formalisert de nødvendige prosessene og integrert dem i bedriftskulturen, vil du innfri alle krav i henhold til regelverket uten at det vil føles som ekstraarbeid. Dette kan riktignok kreve en del jobb i starten; særlig for de som har dårlige systemer for dataforvaltning.
Arbeidet som kreves i en slik overgangsfase vil berøre mange – om ikke alle – avdelinger av selskapet. Dette krever at ledelsen tar styring. Arbeidet kan ikke delegeres til avdelinger med ansvar for sikkerhet, personvern, jus, overholdelse, HR eller IT. Alle disse avdelingene kommer til å spille en rolle, men uten backing og økonomisk støtte fra styret, vil det bli vanskelig å skape forpliktelse og engasjement rundt implementeringen.
Gjennomføring
I kjernen av enhver velorganisert bedrift må det ligge en inngående kunnskap om hvor opplysninger lagres, om de er nødvendige for organisasjonen, og hvordan de blir behandlet.
Enkelt fortalt skal det finnes to lagringssteder – ett som vil spres rundt, der selve opplysningene er lagret – og et annet med metadata som viser til disse opplysningene og inneholder nøkkelinformasjon om dem. Lagringsstedet med metadataene er et viktig verktøy for å få tilgang til og å kunne behandle opplysningene som bedriften er avhengig av. Dersom dette ikke eksisterer enda, må det opprettes.
For å kunne innfri krave til GDPR og den kommende ePrivacy-forordningen, vil det være avgjørende å ha en velorganisert metadataløsning som sikrer tilgang til alle opplysninger knyttet til en enkeltperson. Løsningen inneholder informasjon om innsamlingen, bruken, oppbevaringen og slettingen av disse opplysningene. Den vil også gjøre det mulig å gi en automatisk respons til en innsynsbegjæring. I mange tilfeller vil den også strekke seg over i leverandørkjeden, til enheter som oppbevarer eller behandler personopplysninger på dine vegne.
Én ting er å opprette en slik løsning for å imøtekomme de umiddelbare GDPR-kravene – men for at denne skal bli en integrert del av bedriften, må det utvikles prosedyrer for hvordan den skal administreres og oppdateres. Dette kan være den avgjørende faktoren for å få alle databehandlingsystemene i bedriften – inkludert det for personopplysninger – til å harmonisere. En egen sentralisert metadataløsning vil være en verdifull og viktig tjeneste for alle avdelinger, og bidra i arbeidet med å strømlinjeforme selskapets operasjoner samt forhindre opphopning av data.
I tillegg til å løse utfordringer med selve datalagringen, er det viktig med effektiv endringsstyring slik at de ansattes behov både blir hørt og møtt. De er nødt til å forstå de nye prosessene, og hvordan de vil komme til å påvirke dem. Dette krever en trinnvis tilnærming med informasjon og opplæring, avhengig av den enkeltes stilling. Som et minstekrav må dette komme via internkommunikasjon, som muligens kan styres av HR. I beste fall innebærer dette utdypende opplæring av alle ansatte som forholder seg til personopplysninger på en eller annen måte, som også tar for seg hvordan de kan forbedre kundeopplevelsen ved hjelp av et effektivt og godt personvern.
Konklusjon
Ved å ta fatt på arbeidet med personopplysninger på denne måten, vil GDPR og ePrivacy raskt bli en underordnet og naturlig del av det daglige arbeidet. Bedriften din vil kunne vise til sikker datalagring og -håndtering, ansvarlig drift og god etikk, og dermed tilegne seg økt tillit og anseelse både blant ansatte, kunder, leverandører og tilsynsmyndigheter.