Det är många chefer, IT-experter och personalansvariga som i dag kämpar mot tiden för att vara förberedda när den nya personuppgiftslagen GDPR börjar gälla i maj nästa år. För många är det ett helt nytt sätt att tänka runt hanteringen av personuppgifter. Den nya lagen ersätter pul, personuppgiftslagen, och stärker skyddet för den enskilda samtidigt som kraven på de organisationer som hanterar personuppgifter ökar.
För de flesta innebär GDPR nya arbetsrutiner, mer dokumentation och krav på bättre riskutvärdering. Behovet av information är stort och det är inte utan orsak som många seminarier om vad den nya lagen innebär är fulltecknade. En undersökning som Deloitte har gjort visar att bara två av tio företag känner sig väl förberedda och en annan undersökning från NTT Security visar att många verksamhetsledare inte vet var man lagrar sin data någonstans. Men det behöver inte vara varken krångligt eller tidskrävande att ta kontroll över den data som företaget hanterar.
Ostrukturerade data den största utmaningen.
Med bra kontroll över den data som företaget hanterar är det inte svårt att uppfylla krav som 72-timmarsregeln vid dataintrång, dataportabilitet och enskilda personers rätt till insyn i vilka egna personuppgifter som lagrats.
Med tanke på att runt 80 procent av all verksamhetsdata är ostrukturerad är det lätt att förstå hur mycket personuppgifter som döljer sig i dokument som inte är kartlagda. Den ostrukturerade informationen är därför den största utmaningen. Men med rätt verktyg går det att indexera all data oavsett var den ligger.
Tre steg till kontroll över informationen
- Kartlägg var du lagrar personuppgifter och vilka som har åtkomst: Som regel ligger persondata spridd i flera olika system som filservrar, Office 365, ERP- och CRM-system, intranät, HR-system osv. Olika avdelningar kan ha olika system och rutiner som du behöver ha kontroll på. Du behöver också veta vilka personer som kommer åt vad och se till att bara de som verkligen behöver får tillträde till information.
- Få överblick över vilken typ av data ni hanterar. När du vet var uppgifterna finns kan du också börja kartlägga vad ni har lagrat. Med goda sökrutiner blir det enkelt att se om det är namn, e-postadresser, personnummer eller någon annan typ av persondata. Du måste också veta varför uppgifterna har lagrats och vad de ska användas till.
- Se till att det går lätt att hitta och lyfta ut personuppgifter från systemen. Rätten till information för privatpersoner och skyldigheten att rapportera dataintrång inom 72 timmar är några av de nya krav som gör att du snabbt behöver kunna söka rätt på och lyfta ut enskilda personuppgifter och presentera dem i ett allmänt och läsbart format.
När du väl har fått kontroll på informationen är det lättare att införa de rutiner som behövs för att gå vidare.
