Hvordan gjennomføre et GDPR-prosjekt?
Alle virksomheter bør gjennomføre et GDPR-prosjekt for å avklare om virksomheten er driver i overensstemmelse med de nye reglene. Et slikt prosjekt kan bli omfattende, men det bør ikke bli det.
Siden den nye personvernforordningen (GDPR) og den nye personopplysningsloven vil få betydning for alle virksomheter, vil alle virksomheter måtte gjennomføre et prosjekt for å få virksomheten i overensstemmelse med de nye reglene.
Et slikt prosjekt er et felles prosjekt som spesielt HR, IT og de ansvarlige for forretningsdriften må ta stor del i, men ofte er det én person som blir ansvarlig, som internadvokaten (for det handler jo om juss…), IT-avdelingen (dette er vel noe med data…), HR eller andre.
Her er en enkel oversikt over hva den som blir ansvarlig kan gjøre for å gjennomføre et GDPR-prosjekt.
Et GDPR-prosjekt, dvs. å få en virksomhet i overensstemmelse med de nye reglene før 25. mai 2018, skiller seg ikke mye fra andre prosjekter knyttet til compliance. Det spesielle ved GDPR-prosjekter er mest at det er stor oppmerksomhet knyttet til GDPR, mange meninger, mange som tilbyr ulike tjenester og det er en frist som vedrører mange. Det er også knyttet meget store bøter til manglende overholdelse av reglene (selv om dette er maksimalnivåer) som medvirker til å øke oppmerksomheten.
Alle virksomheter bør gjennomføre et GDPR-prosjekt for å avklare om virksomheten er driver i overensstemmelse med de nye reglene. Et slikt prosjekt kan bli omfattende, men det bør ikke bli det. Som jeg har tidligere skrevet i artikkelen «11 påstander om GDPR og de nye personvernreglene som er (delvis) feil», så vil det å bli klar for GDPR være en overkommelig oppgave som kan gjennomføres på relativ kort tid (forutsatt at man har rette ressurser tilgjengelig og gjennomfører prosjektet metodisk) for de fleste selskaper. Det handler om å kartlegge hvilke personopplysninger som behandles, vurdere om behandlingen er i overensstemmelse med reglene, utbedre avvik fra reglene, utarbeide dokumentasjon på behandlingen og andre tiltak og krav som følger av regelverket. Et prosjekt kan gjennomføres på 1 til 3 måneder avhengig av hvor mye som allerede er på plass i virksomheten, ressurser internt og eksternt, hvor mye og hvordan personopplysninger behandles i virksomheten og enkelte andre forhold.
Et GDPR-prosjekt vil grovt sett omfatte følgende faser:
- Planlegge som vil bl.a. omfatte å definere omfang/planlegge, allokere ressurser, fremdriftsplan, og angi risikonivå.
- Kartlegge personopplysninger som behandles, behandlingsmåte, informasjonssystemer, bruk av leverandører/underdatabehandle
re, overføring til tredjeland, rutiner og prosedyrer, dokumentasjon mv. (Sender du meg en melding i LinkedIn, sender en epost på jan.sandtro@dlapiper.com eller legger inn en kommentar under artikkelen, så sender jeg deg et regneark til hjelp for å få oversikt over personopplysninger som behandles.) - Vurdere behandlingen av data og informasjon, identifisere avvik fra regelverket og akseptert risikonivå, samt en risikovurdering av den behandling av personopplysninger som skjer med tilhørende risikoelementer.
- Dette ender opp i et avvik.
- Utbedre som vil være å iverksette tiltak og endre rutiner som ikke er i overensstemmelse med GDPR (og annet regelverk).
- Etablere en effektiv struktur (governance) for å håndtere avvik og risikoelementer i organisasjonen.
- Håndtere løpende risikoforhold som oppstår, samt håndtering av endringer i rammelovgivning, teknologi og andre forhold som kan påvirke risiko i organisasjonen.
Er tiden knapp, og man får ikke gjennomført et helt prosjekt, kan man gå etter de lavthengende fruktene (først). Ved å fokusere på de mest hyppig forekommende bruddene på personvernreglene, så får man bukt ved mange av utfordringene. Her er en oversikt over de 5 vanlige bruddene på GDPR.
DLA Piper gjennomfører nå over 200 GDPR-prosjekter over hele Europa, og har utarbeidet en verktøypakke for gjennomføring av slike prosjekter som var en av grunnene til av vi ble kåret til det 5. mest innovative advokatfirma i Europa. Ovennevnte er basert på erfaringer fra disse prosjektene og vår verktøypakke.
Om artikkelforfatteren
Jan Sandtrø er advokat og partner hos DLA Piper og bistår klienter i forholdet mellom juss og teknologi. Han har lang erfaring med teknologirett, herunder it-kontrakter og personvern. DLA Piper er det eneste globale advokatfirma i Norge, og det eneste advokatfirma som har kontorer i både Danmark, Finland, Norge og Sverige. DLA Piper har 500 advokater spesialisert i IP og teknologi blant sine nær 4 500 advokater over hele verden. Jan Sandtrø kan kontaktes på jan.sandtro@dlapiper.com, telefon +47 997 31 934 eller via LinkedIn