Bli GDPR-compliant - en praktisk tilnærming

GDPR (General Data Protection Regulation) handler om å etterleve et regelverk. Det er strenge konsekvenser i form av bøter for bedrifter som ikke gjør det.

Skrevet av Jon Erik Høgberg, EVP Managed Services

De som tidligere har forholdt seg den norske personvernloven, IKT-forskrifter og bransjespesifikke lovverk vil kjenne seg igjen. GDPR føyer seg inn i rekken av lovverk som ikke bare må etterleves, men også må kunne bevises etterlevd gjennom dokumentasjon. I tillegg stilles det krav til IT-systemstøtte, tydelige roller, rutiner og sporing på hvilke personer som behandler hvilke persondata.

Virksomheten har ansvaret

”Med ny personvernlovgivning blir det en plikt å bygge inn personvern i nye IT-løsninger”, skriver Datatilsynet på sine nettsider. Nå vektlegges det at ansvaret ligger hos virksomheten, og dermed blir god internkontroll viktig.

Norske virksomheter har tradisjonelt god erfaring med å behandle persondata. Dette hjelper oss når vi nå skal bli GDPR-compliant, der de aller fleste virksomheter må både friske opp prosessbeskrivelser, øke bevissthet om hvordan persondata behandles og utrede hvordan GDPR skal ha systemstøtte i virksomhetens IT-løsninger.

Praktisk tilnærming hjelper

I personvernprosjekter for våre kunder har vi erfart at en stor dose praktisk tilnærming hjelper når vi knekker «GDPR-koden». Det kan eksempelvis innebære å:

  • dokumentere forretningsprosesser
  • klassifisere data som benyttes i prosesser og finnes i tilhørende applikasjoner
  • gjennomføre risikovurdering knyttet til databehandling
  • utforme tydelige rollebeskrivelser
  • utforme tydelige policies for tilgangsstyring
  • spore hvem som har gjort hva gjennom logging og sikre at persondata ikke distribueres til uvedkommende

Deretter oppsummeres dette i en databehandlingsavtale der man har eksterne behandlere av virksomhetens persondata. Et effektivt rammeverk er å benytte kontrollene nevnt i Datatilsynets veileder som en sjekkliste.

Itera strukturer, analyserer og anbefaler konkrete tiltak

For å sikre en smidig og praktisk tilnærming setter vi i Itera sammen tverrfaglige team bestående av infrastruktur- og applikasjonskompetanse, kompetanse innen informasjonssikkerhet og dataklassifisering, juridisk kompetanse fra samarbeidende advokatselskaper og prosess- og analysekompetanse kombinert med prosjektledelse.

I en GDPR-leveranse legger kunden frem detaljert innsikt og kunnskap om virksomheten og de data som blir behandlet. Deretter kan Itera strukturere, analysere og anbefale konkrete tiltak med tilhørende leveransebeskrivelse. Som en ledende leverandør av både design, utvikling og drift av applikasjoner har vi god innsikt i hvordan digitale løsninger gir god systemstøtte for å etablere og forvalte GDPR-compliance.

Informasjonssikkerhet er en kontinuerlig prosess

Sammen med våre kunder skisserer vi hvordan de best kan forvalte internkontroll fremover, og blant annet sikre at prosesser etterleves og at egnet teknologi blir vurdert og implementert.

25. mai 2018 er en viktig milepæl – da trer GDPR-forordningen i kraft som en integrert del av norsk lovverk. Du og din virksomhet plikter innen denne datoen å ha etablert styringsevne for internkontroll med behandling av persondata på rett måte. Det kan vi hjelpe dere med.

Hva vi gjør
Hva vi gjør
Hva vi gjør