FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Transkript

1 FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE Start din reise mot å etterleve de nye personvernreglene

2 INTRODUKSJON I mai 2018 innføres ny personvernlovgivning i Norge. Disse har vært mye omtalt, både som de europeiske personvernforordningene og som General Data Protection Regulation eller GDPR. De nye lovene innebærer i noen tilfeller relativt store endringer for virksomheter. Disse reglene setter en ny standard over hele verden for personvern, sikkerhet og samsvar. GDPR og personvernreglene er til syvende og sist ment for å beskytte individer og gi dem mulighet for innsyn, og dette setter strenge krav til hvordan du som virksomhet administrerer og beskytter personlige data. Samtidig skal alle som samler inn og administrerer slike personlige data kunne gi innsyn til individer slik at de kan sjekke hvilke data du lagrer, og gi dem mulighet til å endre eller flytte dem. Endringene i personvernreglene krever at virksomheter og organisasjoner går seg selv i sømmene og etablerer, eller forsterker, rutinene for hvordan både strukturerte og ustrukturerte data behandles. Kom i gang med denne whitepaperen 25. mai er ikke langt unna, og det er dessverre ikke mye tid å gjøre endringer på. Men det er absolutt mulig å komme i mål til denne fristen. Har du lastet ned denne whitepaperen er du ett steg på veien. Vi kan ved hjelp av vår metode og sett med teknologi og verktøy hjelpe deg og din virksomhet godt i gang, og du vil stå igjen med et veikart for videre arbeid. Det er virksomhetens ledelse som har ansvaret for at de nye lovene følges, og at nye rutiner utformes. Men, alle i virksomheten må kjenne til og følge de nye reglene. For at veien mot å etterleve de nye reglene skal gå så smertefritt som mulig anbefaler vi at en person i organisasjonen får ansvaret for denne prosessen, og at det settes av ressurser for å få gjennomført endringene. Personen som leder denne prosessen bør være noen som skjønner hvordan alle delene i virksomheten jobber og fungerer, og er ikke nødvendigvis noen fra IT-avdelingen. Sammen med dere går vi systematisk gjennom din virksomhet for å identifisere hvilke data dere administrerer, og hvor de befinner seg, for så å implementere løsninger og ikke minst retningslinjer dere skal leve med fremover. Å etterleve de nye personvernreglene er nemlig ikke et tidsbegrenset prosjekt, men verktøy og en intern kultur som skal følge dere i det daglige. Kun daglig bevissthet på hva kravene innebærer, og ikke minst kontinuerlig fokus på riktig håndtering av data sikrer at virksomheten oppfyller kravene hele veien. Videre går vi litt dypere inn på hva de nye personvernreglene, eller GDPR, innebærer og hvordan vi jobber med våre kunder. «Rutiner for hvordan både strukturerte og ustrukterte data behandles må etableres, eller forsterkes»

3 FORSTÅ DE NYE REGLENE Før vi snakker om hvordan Skill kan bistå for din virksomhet på veien mot å etterleve de nye reglene går vi gjennom hva GDPR og de nye personvernreglene faktisk er og noen av de vanligste spørsmålene vi får. Hva er GDPR? General Data Protection Regulation, GDPR, er en ny personvernforordning som gjelder for EU. Samtidig oppdateres de norske personvernreglene, basert på denne forordningen. De nye reglene gir individer bedre kontroll over sine personlige data og sikrer at bruken av data blir mer transparent. For virksomheter kreves det både kontroll over alle data, og ikke minst rutiner for både samtykke og sikkerhet mot databrudd. Gjelder GDPR/de nye personvernreglene for min virksomhet? Den nye personvernlovgivningen gjelder alle virksomheter, offentlige etater, veldedige organisasjoner og andre som tilbyr varer og tjenester til individer i EU og EØS, eller som innhenter og analyserer data koblet til EU/EØS-innbyggere. Uansett bransje og størrelse på virksomheten. Personvernforordningen som EU nå innfører blir også norsk lov gjeldende fra samme dato, 25. mai Hva er fristen for å etterleve de nye personvernreglene? GDPR og de nye personvernreglene vil tre i kraft 25. mai 2018 og erstatter den gamle personvernloven her i Norge. GDPR ble faktisk innført i april 2016, men fordi reglene betyr store endringer for noen organisasjoner ble det gitt en to års overgangsperiode.

4 Hva er hovedtrekkene i de nye personvernreglene? GDPR og de nye reglene er strukturert rundt fem prinsipper: Åpenhet rundt administrasjon og bruk av personlige data De nye reglene er utformet for å begrense innsamling og lagring av personlige data, og hensikten for lagringen skal være spesifikk i samtykket Reglene skal gi mulighet for registrerte individer til å rette eller slette dataene som er lagret, og eventuelt be om at de skal flyttes (dataportabilitet) Dataene skal kun lagres så lenge som det er nødvendig for den opprinnelige hensikten Personlige data skal være beskyttet og det er krav om håndtering og innmelding av avvik om det har vært et sikkerhetsbrudd EKSEMPLER PÅ KRAV I DE DEN NYE LOVGIVNINGEN De nye personvernreglene gir enkeltpersoner rett til å vite om en organisasjon administrerer hans eller hennes personlige data, og de må kunne forstå formålet ved bruken av dataene. En person har rett til å få dataene sine slettet eller endret, å be om at dataene ikke lengre brukes, motsette seg direkte markedsføring og å tilbakekalle samtykket til visse bruksområder. Et individ har også rett til, etter loven om dataportabilitet, å få flyttet dataene sine, og å motta hjelp til å gjøre det. Reglene krever at virksomheter sikrer personlige data etter hvor sensitive de er. Hvis det skulle skje et databrudd eller avvik må de som kontrollerer dataene rapportere dette inn. Om avviket kan resultere i høy risiko for enkeltpersoners rettigheter og personvern, må virksomheten også varsle individene som er påvirket samt Datatilsynet. Ethvert samtykke til behandling av personopplysninger må være gitt «informert, frivillig og spesifikt». Informasjonen angående samtykket skal være kortfattet, klart og tydelig, lett forståelig og lett tilgjengelig i henhold til Datatilsynet. Organisasjoner må gjennomføre risikoanalyser av dataene for å forutsi virkningen på personvernet ved eventuelle avvik og databrudd, og utføre tiltak for å begrense skadene om det skjer. Selvsagt med bakgrunn i at behandlingen av dataene, samtykket og rapporteringen etterleves innenfor personvernreglene. Å sørge for at virksomheten er i samsvar med de nye reglene er ikke en engangsaktivitet, men en løpende prosess. Hvis man ikke har startet sitt arbeid mot å etterleve de nye kravene, og eventuelt grovt neglisjerer reglene kan det pålegges bøter til virksomheten. For å sikre at man etterlever reglene er det viktig å jobbe frem en kultur i organisasjonen som sikrer at personvernet opprettholdes og data beskyttes.

5 Vi kan være din partner på reisen mot å oppfylle de nye kravene Å få på plass alt i din virksomhet eller organisasjon for å kunne oppfylle kravene i de nye personvernreglene er en prosess som vil påvirke alle parter i din organisasjon. Det krever ressurser og vil også kunne bidra til store endringer i rutinene for personvern og hvordan data håndteres. For at prosessen skal være så smertefri som mulig anbefaler vi en utenforstående part som kan bidra med systematisk gjennomgang og kartlegging, implementering av nye rutiner for verktøy og teknologi som støtter oppfyllelsen av kravene.

6 KOM I GANG! Systemene du bruker for å opprette, lagre, analysere og administrere data kan være spredt på tvers av et vidt spekter av IT-plattformer. Personlige enheter, lokale servere, skytjenester og i IOT-enheter. I tillegg kan det også finnes data lagret utenfor organisasjonen, eller steder som IT-avdelingen ikke kjenner til. For eksempel på private enheter til dine ansatte. Mange er ikke klar over at de dataene som vi kaller ustrukturerte er det som tar lengst tid å få kontroll på. Opptil 80 prosent av dataene i en virksomhet er ustrukturerte ifølge Gartner. Dette kan være data i regneark, på sharepoint-lokasjoner, i diverse e-poster eller i Worddokumenter. Det kan også være lydfiler, overvåkningsvideoer eller PDF-er. Data som ikke ligger i en database eller i et system, og som ikke er eller er vanskelig å indeksere. Vi har erfaring med, og ikke minst verktøyene, som gjør det enklere å få kontroll på denne type data. Det som allerede er sortert på en eller annen måte i ditt CRM-system eller på databaser krever mindre ressurser å få kontroll på. Setter du ressurser og fokus på å få kontroll på de ustrukturerte dataene betyr det ikke bare at du oppfyller kravene i de nye personvernreglene, det gir deg også full kontroll på dataene som igjen kan føre til fordeler i den daglige driften. Det vi snakker om over betyr at det meste av din virksomhets it-portefølje kan ligge under kravene til de nye reglene. Vi bruker en firestegs prosess for å sikre at virksomheten din etterlever disse kravene. Hele veien vil vi bidra med vår kunnskap og våre råd, samt teknologi, for hvordan stegene praktisk skal gjennomføres. «Ustrukturerte data utgjør opp til 80 prosent av en virksomhets samlede mengde data ifølge Gartner»

7 1. FÅ OVERSIKT Det første skrittet mot etterlevelse av personvernreglene er å vurdere i hvor stor grad kravene gjelder for organisasjonen din. Denne analysen begynner med å forstå hvilke data du har og hvor de befinner seg. Lovverket regulerer innsamling, lagring, bruk og deling av personlige data. Personlige data defineres svært bredt som data som angår en identifisert eller identifiserbar fysisk person. Hvis organisasjonen din har slike data - i kundedatabaser, tilbakemeldingsskjemaer fylt ut av kundene dine, e-postinnhold, bilder, overvåknings-opptak, lojalitetsprogrammer, databaser eller andre steder - eller ønsker å samle inn slike data, må du overholde reglene. Denne gjennomgangen vil hjelpe deg å forstå hvilke data som er personlige, og å identifisere systemene der dataene samles inn og lagres, forstå hvorfor det ble samlet inn, hvordan det behandles og deles, og hvor lenge de kan lagres. 2. ADMINISTRERE Personvernlovverket gir registrerte personer individene dataene gjelder bedre kontroll over hvordan personopplysninger er samlet inn og brukt. Effektiv styring av dataene innebærer både datastyring og dataklassifisering. Datastyring. For å tilfredsstille dine forpliktelser overfor registrerte individer, må du forstå hvilke typer personopplysninger organisasjonen din behandler, hvordan organisasjonen behandler slike data, og til hvilke formål. Alle dataene din virksomhet har lagret er starten på å oppnå denne forståelsen. Når første steg er fullført og du har oversikt over alle disse dataene er det viktig å utvikle og implementere en datastyringsplan. En datastyringsplan kan hjelpe deg med å definere retningslinjer, roller og ansvar for tilgang, administrasjon og bruk av personlige data, og kan hjelpe deg med å sikre at din praksis for datahåndtering overholder personvernreglene. 3. BESKYTT Det er generelt mer forståelse for hvor viktig informasjonssikkerhet er, men det nye lovverket setter standarden enda høyere. Det krever at virksomheter gjennomfører både teknologiske og organisatoriske tiltak for å beskytte personopplysninger mot tap, uautorisert tilgang eller avsløring. Når du etter vår gjennomgang har fått oversikt over dataene du må få kontroll på, både strukturerte og ustrukturerte, implementerer vi verktøy og teknologi som hjelper din virksomhet å fortsette jobben med å sikre data. Også i fremtiden. Dette krever ikke bare teknologi, men også forankring i ledelsen og resten av virksomheten, og ikke minst opplæring og rutiner for alle ansatte. 4. RAPPORTER De nye personvernreglene setter nye standarder for åpenhet, ansvar og registrering av data. Din virksomhet må ha åpenhet rundt hvordan dere håndterer personopplysninger, men også hvordan dere dokumenterer interne prosesser og bruker personlige data. Virksomheter som behandler personopplysninger må opprettholde registre om formålene med databehandlingen; kategoriene av personopplysninger, hvilke tredjeparter data deles med, hvilke andre land dataene er overført til (om noen) og det juridiske grunnlaget for slike overføringer, organisatoriske og teknologiske sikkerhetstiltak og hvor lenge ulike datasett lagres. En måte å oppnå dette på er å bruke revisjonsverktøy. Disse kan bidra til at enhver behandling av data, enten det er innsamling, bruk eller deling spores og registreres. Dataklassifisering er en viktig del av enhver datastyringsplan. Å adoptere et klassifiseringsprogram som gjelder hele organisasjonen din kan være spesielt nyttig for å svare på forespørsler fra registrerte individer, fordi det gjør det lettere å identifisere og behandle personopplysninger.

8 TRENGER DU HJELP TIL Å KOMME I GANG? Å sette opp virksomheten slik at dere etterlever de nye personvernreglene krever ressurser og tid, og fristen i mai nærmere seg raskt. Det er ikke mulig å komme unna. Men det er, som vi også sier tidligere, absolutt mulig å være klar når våren kommer. Selv om du ikke har satt systematisk i gang enda. Ønsker du hjelp klikker du på knappen til høyre for mer informasjon, om mulighet til å komme i kontakt med oss. Vi bidrar med friske øyne, og ikke minst har vi erfaringen og teknologien som bidrar til at prosessen kan gjennomføres enklere. Resultatet vil du se er at dere får bedre kontroll på dataene, og det gir et godt grunnlag for videre utvikling av virksomheten. KOM I GANG I DAG! Vi kan hjelpe deg slik at du er klar til våren når de nye personvernreglene trer i kraft. Trykk her for å lese mer og registrer deg, så hører du fra oss innen kort tid.