Hvordan gjennomføre et GDPR-prosjekt?

Data Protection, Privacy and Security Alert

Kontakt:

Siden den nye personvernforordningen (GDPR) og den nye personopplysningsloven vil få betydning for alle virksomheter, vil alle virksomheter måtte gjennomføre et prosjekt for å møte de nye reglene. Et slikt prosjekt er et felles prosjekt som spesielt HR, IT og de ansvarlige for forretningsdriften må ta stor del i, men ofte er det én person som blir ansvarlig, som internadvokaten, IT-avdelingen, HR eller andre. Her er en enkel oversikt over hva den som blir ansvarlig kan gjøre for å gjennomføre et GDPR-prosjekt.

Et GDPR-prosjekt, dvs. å få en virksomhet i overensstemmelse med de nye reglene før 25. mai 2018, skiller seg ikke mye fra andre prosjekter knyttet til compliance. Det spesielle ved GDPR-prosjekter er først og fremst at det er stor oppmerksomhet knyttet til GDPR, mange meninger, mange som tilbyr ulike tjenester og det er en frist som vedrører mange. Det er også knyttet meget store bøter til manglende overholdelse av reglene (selv om dette er maksimalnivåer) som medvirker til å øke oppmerksomheten.

Alle virksomheter bør gjennomføre et GDPR-prosjekt for å avklare om virksomheten er driver i overensstemmelse med de nye reglene. Et slikt prosjekt kan bli omfattende, men det bør ikke bli det. Som jeg har tidligere skrevet i artikkelen "11 påstander om GDPR og de nye personvernreglene som er (delvis) feil", så vil det å bli klar for GDPR være en overkommelig oppgave som kan gjennomføres på relativ kort tid (forutsatt at man har rette ressurser tilgjengelig og gjennomfører prosjektet metodisk) for de fleste selskaper. Det handler om å kartlegge hvilke personopplysninger som behandles, vurdere om behandlingen er i overensstemmelse med reglene, utbedre avvik fra reglene, utarbeide dokumentasjon på behandlingen og andre tiltak og krav som følger av regelverket. Et prosjekt kan gjennomføres på 1 til 3 måneder avhengig av hvor mye som allerede er på plass i virksomheten, ressurser internt og eksternt, hvor mye og hvordan personopplysninger behandles i virksomheten og enkelte andre forhold.

Et GDPR-prosjekt vil grovt sett omfatte følgende faser:

  • Planlegge som vil bl.a. omfatte å definere omfang/planlegge, allokere ressurser, fremdriftsplan, og angi risikonivå.
  • Kartlegge personopplysninger som behandles, behandlingsmåte, informasjonssystemer, bruk av leverandører/underdatabehandlere, overføring til tredjeland, rutiner og prosedyrer, dokumentasjon mv. (Send en epost til Jan Sandtrø på [email protected], så får du i retur et regneark til hjelp for å få oversikt over personopplysninger som behandles.)
  • Vurdere behandlingen av data og informasjon, identifisere avvik fra regelverket og akseptert risikonivå og tilhørende risikoelementer.
  • Dette ender opp i et avvik.
  • Utbedre som vil være å iverksette tiltak og endre rutiner som ikke er i overensstemmelse med GDPR (og annet regelverk).
  • Etablere en effektiv struktur (governance) for å håndtere avvik og risikoelementer i organisasjonen.
  • Håndtere løpende risikoforhold som oppstår, samt håndtering av endringer i rammelovgivning, teknologi og andre forhold som kan påvirke risiko i organisasjonen.

Selv om et slikt prosjekt kan virke uoverkommelig så blir det enklere og mer oversiktlig etterhvert som man kommer i gang med prosjektene. Start med planlegging og involvering av de rette ressursene, og kom i gang med kartleggingen, så vil det meste være klart fremover. Stort sett vil prosjektene kunne gjennomføres med interne ressurser, og det bør i mange tilfelle være interne ressurser som gjennomfører i det vesentlige (spesielt ved kartlegging). Men det kan være at det er behov for eksterne rådgivere, spesielt ved vurdering og utbedring, som rådgivere med juridisk og teknisk kompetanse. Det kan også være at det må anskaffes it-løsninger og foreta organisatoriske endringer for å utbedre avvik mot de nye reglene.

Er tiden knapp, og man får ikke gjennomført et helt prosjekt, kan man gå etter de lavthengende fruktene (først). Ved å fokusere på de mest hyppig forekommende bruddene på personvernreglene, så får man bukt ved mange av utfordringene. Her er en oversikt over de 6 vanlige bruddene på GDPR.

DLA Piper gjennomfører nå over 200 GDPR-prosjekter over hele Europa, og har utarbeidet en verktøypakke for gjennomføring av slike prosjekter som var en av grunnene til av vi ble kåret til det 5. mest innovative advokatfirma i Europa. Ovennevnte er basert på erfaringer fra disse prosjektene og vår verktøypakke.