Noen selskaper er åpenbare som viktige aktører for innsamling og bruke personopplysningsdata, og er nødt til å ta dette veldig alvorlig. Det kan være telecom-selskaper, banker og andre finansinstitusjon. Rett og slett bedrifter som jobber med store mengder kunde- og persondata som core business. Men det er definitivt ikke bare for dem.
Gjelder alle
Medie- og byrå og analysebransjen spesielt, er aktører som også må ta GDPR (General Data Protection Regulation) innover seg. Vi flytter ofte personlige data for våre kunder, enten bevisst eller ubevisst, og er dermed nødt til å ha god kontroll på hvilke personlige data som lagres og forvaltes.
Dette bør være et av de viktigste interne fokusområdene man har for tiden. Det krever ressurser i egen organisasjon, og det kan kreve hodebry om det avdekkes at ny personvernlovgivning gir utfordringer med eksisterende inntektsstrøm. Derfor er det heller ingen tid å miste.
Hvordan angripe et mangehodet troll
Vår erfaring er at det det er viktig at bedriften selv er i lead i prosessen med GDPR. Her kan man godt tilknytte seg rådgivende miljøer for å være bidragsytere, men styringen av prosjektet anbefaler vi klart at ligger hos hver enkelt bedrift.
Grunnen er at dere kjenner egen virksomhet best, og hvilke datastrømmer av både strukturerte- og ustrukturerte data som må frem i lyset. Strukturerte data, er data som ligger i datatabeller, mens ustrukturerte data flyter fritt, for eksempel epost og mobilnummer-lister i Excel.
Selv har vi både initiert prosjekt med ekstern leverandør og vi har jevnlig dialog i prosjektet med vår juridiske partner, DLA-Piper. Det er tross alt en ny lov som kommer, og er vi usikre så avklarer vi utfordringer og muligheter med dem.
Definering av prosjekt
Vi startet vårt eget GDPR-prosjekt ved å dele datastrømmene inn i 2 hovedkategorier, interne og eksterne data.
Innenfor interne data har vi sett på HR/Administrasjonsdata og data fra våre egne undersøkelser. Innenfor eksterne data har vi forholdt oss til Kunders spørreundersøkelser, CRM-data, Cookie-data og 3.partsdata. Det er enkle kategorier, men det ligger mange datastrømmer under hver kategori.
I tillegg til persondata, tar vi også ta hensyn til pseudoanonymisert data i defineringen. Pseudoanonymisert data vil si at identiteten til personopplysninger ikke kan avsløres ved kun et datasett, men at sammenstillingen av data gjør den personlig identifiserbar. Eksempelvis kan datasettet «postnummer», «porche 911», og «alder», neppe identifiserbare noen i Oslo, for der er utvalget for stort. Men om man gjør det samme i et postnummer i rurale områder, kan dette være nok data til å identifisere et individ
Struktur og gjennomgang i alle elementer
For å få oversikt over egen dataflyt i dag, så må man definere de forskjellige fasene. Vi anbefaler at man ser på hvordan vi i dag håndterer prosessen innenfor:
•Mottak
•Lagring
•Behandling
•Deling
•Sletting
Dette gjør vi da både i forhold til alle datakilder som vi identifiserer under interne- og eksterne data, og beskriver i detalj hvordan dette gjøres i dag.
Når datastrømmene analysert og vi ser hvilke justeringer som må til for å være «compliant» i forhold til mai 2018, må vi definere hvilke prosesser, rutiner og verktøy som må implementeres for at vi skal kunne innfri de kravene som settes. Det er da hoveddelen av jobben starter.
Nå er det neste år som gjelder, men for å kunne levere et vellykket GDPR-prosjekt må man også ha fokus på at løsningene skal leve godt videre også i 2019 og 2020. Da må man huske på å ta hensyn til at endringene som settes skal være levedyktig for hele organisasjonen på sikt.
Databehandleravtaler
I tillegg til å ha kontroll på data i eget hus, og hvordan data innhentes og prosesseres i egen bedrift, er det nødvendig å ha databehandleravtaler som regulerer overføringen og ansvarligheten av personlig data med andre bedrifter. En forutsetning, er at det i første omgang foreligger et aktivt samtykke med sluttkunden eller respondenten, for å kunne dele denne data med 3. part.
En databehandleravtale regulerer forholdet mellom behandlingsansvarlig og databehandler. Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemidler som brukes. I de fleste tilfeller er dette kunden vår, i hvert fall for oss mediebyråer. En databehandler er den som behandler personopplysninger på vegne av behandlingsansvarlig.
Dokumentér herfra til..
Her er det en del å forholde seg til, og det vil helt klart påvirke og kreve ressurser fra egen organisasjon. Noen bedrifter ønsker å vente med å starte arbeidet med GDPR, til etter at norsk lovgivning er klar, og mener derfor at de kan sitte rolig i båten å inntil videre.
Vår anbefaling er ikke å gjøre det. GDPR og hva det skal inneholde, er klart fra EU i dag. Det er kun tilpasningen til norsk lov som nå gjøres. Alle rammebetingelser og hovedelementer er klare. Om man ikke starter nå så vil man risikere å ikke bli ferdig i tide. Da vil man også risikere og tråkke feil, og få erfaring med de store bøtene som skisseres.
Loven er jo ikke klar før i 2018
Når man setter i gang med sitt eget GDPR-prosjekt, så sørg for at alt dokumenteres. Både i forhold til hvordan dere har initiert prosjektet, og hvordan dere har drevet prosessen for endring av rutiner og arbeidsmåte.
Såfremt man har gjort det som er mulig for å prøve å tilpasse seg det nye lovverket i Europa, og vist en villighet til å snu alle steiner, så antas det også at man vil bli behandlet mer skånsomt ved et brudd.
Allier dere med samarbeidspartnere. Selv jobber vi tett med DLA-Piper, og vi går også opp løypen med våre kunder i forhold til hvordan de kan bruke sin egen markedsdata til annonsering også etter midten av neste år. DLA-Piper hjelper oss også med å gå gjennom dokumentasjon og rutiner for å se at vi er på rett vei.
Og til slutt – Ha også et godt forhold til tilsynsmyndighetene. Datatilsynet inviterer til dialog, det bør både kunder og ikke minst bransjeorganisasjoner ta imot en utstrakt hånd.
Sammen kan vi og dere forhåpentligvis gjøre dette litt mindre strevsomt.