Personvernforordningen går ut på at alle som håndterer persondata, skal venne seg til å gjøre det riktige. Men når det kommer til etterlevelse, går forordningen i høy grad ut på å venne seg til å gjøre det nødvendige. Ikke mer, ikke mindre.
Vi har identifisert tre områder som kan spare deg tid, penger og bekymringer:
1) Dropp dataflytanalysen
Personvernforordningen stiller ikke krav om at dere skal utarbeide en dataflytanalyse. Likevel er det virksomheter som er i full gang med dette omfattende og tidskrevende arbeidet. De risikerer å sløse bort både tid og penger som heller kunne vært brukt på andre forberedelser til gjennomføring av forordningen.
Personvernforordningen stiller kun krav om at dere utarbeider en oversikt over alle behandlingsaktivitetene deres. Det er en langt mer overskuelig oppgave.
2) Trim prosjektet ned
Bruk overblikket du får av oversikten over behandlingsaktivitetene til å trimme ned personvernforordnings-prosjektet.
Kanskje oppbevarer dere persondata dere slett ikke trenger å oppbevare. For eksempel finnes det virksomheter som har hatt tradisjon for å bruke personnumre som unike nøkler til dokumentene sine. Hvis man i stedet for personnumre brukte unike tall (som ansattnumre), vil man unngå å måtte sikre data i henhold til forordningen og dermed utelate en hel prosess.
Vi ser også eksempler på at de samme persondataene blir delt mellom flere personer i flere avdelinger i flere prosesser i flere systemer. Ta for eksempel en sykemelding som får lov til å sirkulere rundt blant kollegene før den havner på riktig sted. Hvis dere som standard samler persondata hos én person i én avdeling i én prosess i ett system, er det med på å begrense omfanget av GDPR-prosjektet.
3) Gjenbruk sikkerhetsstandarder
Det er ingen grunn til å forkaste noe som fungerer. Denne devisen gjelder også for sikringen av dataene deres.
Hvis dere for eksempel bruker ISO 27001 til styring av informasjonssikkerheten, er det en overkommelig oppgave å lage tiltak til gjennomføring av personvernforordningen på dette grunnlaget. Det er ingen grunn til å begynne helt fra begynnelsen.
Det er mange andre sikkerhetsstandarder som mot en forholdsvis liten investering kan tilrettelegges slik at dere etterlever kravene i forordningen. Og tilrettelegging er tross alt en raskere, enklere og billigere oppgave enn utskifting til og implementering av et helt nytt system med tilhørende policyer og prosesser.