Slik blir lederhverdagen etter GDPR

Vet du hva DPIA er? En av dine viktigste oppgaver som leder er å forstå begrepene for å kunne føre meningsfulle samtaler om personvern, sier en av Norges fremste GDPR-eksperter.
tirsdag 13. mars 2018
Lesetid: 4 Minutter

Mange virksomheter jobber nå på spreng for å få på plass nødvendige tiltak og rutiner i forkant av at EUs personvernforordning, GDPR, trer i kraft over hele Europa 25. mai. Da går GDPR over i en ny fase, hvor etablerte tiltak og prosesser skal fungere over tid.

Kurset "Lederdagen 3. mai" er i sin helhet viet «livet etter GDPR». Der er teknologisjef Simen Sommerfeldt fra Bouvet en av foredragsholderne. Han er en av dem som kjenner forordningen best her i landet.

Personvernkonsekvensutredning

Sommerfeldt skal på konferansen snakke om personvernkonsekvensutredninger (DPIA), som erstatter dagens ordning med konesesjon og meldeplikt. De blir derfor et av bedriftens viktigste former for dokumentasjon på at de følger forordningen. I forordningens artikkel 35 stilles det krav om at en DPIA skal gjennomføres dersom en behandlingsaktivitet vil medføre en «høy risiko for fysiske personer rettigheter og friheter». 

- DPIA kan være en veldig bra ting. Ved å kjøre DPIA på de viktigste kundereisene og forretningsprosessene får du et godt begrep om sikkerhetsutfordringene virksomheten har. Hvis det gjøres riktig kan du sørge for at løsningene blir justert, at du får på plass varslingsrutiner for å håndtere endringer og at du kan gjøre tydeligere bestillinger med utgangspunkt i risikoanalysen, sier Sommerfeldt.

Sørg for at den kjøres på nytt

Ledelsen må videre passe på å få på plass mekanismer som sørger for at analysene blir gjort på nytt ved behov.

- Hvis det for eksempel gjøres endringer i kundereisen, endringer i hvordan man samler inn og bruker data, eller vesentlige tekniske endringer, så trenger man triggere som sikrer at det kjøres ny DPIA. I tillegg bør analysen kjøres på nytt minst hvert tredje år, fordi det kan skje ting som påvirker sikkerheten, som nye sikkerhetshull og rammeverk kan ha gått ut på dato.

På konferansen vil Sommerfeldt gå gjennom en forenklet prosess som sikrer at dette gjennomføres.

Kan sammenlignes med HMS

På samme måte som for HMS må du nå sørge for at personvern er forankret og innbakt i bedriftens gjøren og laden, uten at det fører til for mye byråkrati.

- Du må sørge for at du har et godt system for internkontroll, god nok sikkerhetspolicy og GDPR-policy til å håndtere de risikoene og personvernverdiene bedriften har. Så må du sørge for at alt dette er innbakt i prosessene rundt forretningsutvikling og HR. Det er viktig å ha tilordnet nok ressurser og kompetanse, sier Sommerfeldt.

Kjør «brannøvelser»

Han mener det kan være fornuftig å kjøre noen «brannøvelser» på personvern, gjennom for eksempel å simulere en sikkerhetshendelse, eller en klage på hvordan du håndterer personvern. Da er det ikke minst viktig å tenke på kommunikasjonen.

- Dersom du får en klage eller en sikkerhetshendelse har du dårlig tid, og det kan få svært store konsekvenser. I tillegg til å håndtere selve hendelsen er det er viktig å ha et begrep om hvordan du skal kommunisere uten å overdramatisere eller underslå det som har skjedd. Det er viktig å ha nok folk som kan svare på spørsmål, ta imot beskjeder og håndtere media.

Viktig å kjenne begrepene

Simen Sommerfeldt sier noe av det viktigste ledere bør gjøre nå i forkant av GDPR er å lære seg terminologien som brukes. Hvis ikke blir det svært vanskelig å føre gode samtaler.

- Ledere skal ikke være personvernnerder, med de må forstå byggeklossene i GDPR og hvordan de passer sammen. På den måten kan de stille fornuftige krav til leverandører, noe ikke alle gjør i dag. Når noen for eksempel sier at vi bør gjøre en DPIA, så må lederen forstå hva dette innebærer. Dette er noe jeg håper lederne sitter igjen med etter lederdagen, sier Sommerfeldt.

DETTE ER DPIA:

DPIA – data protection impact assessment – oversettes gjerne som personvernkonsekvensutredning på norsk. Målet med DPIA er å identifisere og analysere hvordan personvernet blir påvirket av hendelser og aktiviteter. Dersom en virksomhet mener at en planlagt behandling sannsynligvis vil utgjøre en høy risiko for enkeltpersoners rettigheter og friheter, har den plikt til å gjennomføre en vurdering av personvernkonsekvenser. Dette er beskrevet i forordningens artikkel 35.

Dette skal en personvernkonsekvensvurdering minst inneholde

  1. En systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen, herunder, dersom det er relevant, den berettigede interessen som forfølges av den behandlingsansvarlige,
  2. En vurdering av om behandlingsaktivitetene er nødvendige og står i rimelig forhold til formålene,
  3. En vurdering av risikoene for de registrertes rettigheter og friheter som nevnt i nr. 1, og
  4. De planlagte tiltakene for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for å sikre vern av personopplysninger og for å påvise at denne forordning overholdes, idet det tas hensyn til de registrertes og andre berørte personers rettigheter og berettigede interesser

Kilde: Den uoffisielle norske oversettelsen av GDPR, artikkel 35 (Datatilsynet.no)


Hold deg oppdatert med gratis nyhetsbrev

Vi sender ut gratis nyhetsbrev hver uke, med relevante nyheter for deg som er leder eller jobber med HR, personal, lønn, økonomi eller HMS.

Meld deg på ved å fylle ut skjemaet nedenfor - du kan når som helst melde deg av.

Ved å sende inn skjemaet godtar du våre vilkår


Del siden: