Ateas senaste undersökning bland norska chefer visar att endast 24 procent förbereder sig för GDPR – och jag tror att situationen är densamma i Sverige. Det är över fyra månader till deadline. Till dem som inte arbetar på det eller tar det lugnt vill jag ställa några frågor:
Vet du att du blir skyldig att leverera personuppgifter och vad som krävs för att göra det?
Varje privatperson har rätt att inom 30 dagar få reda på alla personuppgifter som du lagrat om dem. De flesta företag tror att de vet var de har sina uppgifter – men 80 procent av all data ligger gömd i ostrukturerad data i form av bland annat wordfiler, pdf:er, bilder och e-post. Om du inte har ett system för att hitta informationen så återstår bara att göra jobbet manuellt när kunderna frågar. Det är en så krävande uppgift att tidsfristen blir omöjlig om du inte skapar en avdelning som sköter den saken. Du måste ha en bättre plan.
Känner du till datainspektionens rapporteringskrav och vad som krävs för att uppfylla dem?
Har du upptäckt en säkerhetsöverträdelse så måste du meddela datainspektionen inom 72 timmar. I rapporten ska du redovisa vilka uppgifter som har äventyrats och vem det kan påverka. Varje enskild person eller kund som har drabbats ska också få ett meddelande om att deras personuppgifter har kommit på avvägar. Är du förberedd för det?
Jag skulle kunna fortsätta med fler frågor som dessa men det jag vill komma till är: Ta inte för lätt på GDPR och tro inte att det löser själv. Alla måste arbeta med data, rutiner och dokumentation. Det finns 80 nya krav. Jag vill inte vara en av de som ropar på vargen men nu gör jag det ändå. Jag kände att jag var tvungen – därför att vargen finns på riktigt.
Simen Kortgaard, VD för VirtualWorks