25. mai 2018 er satt som fristen for bedrifter til å etterleve EUs generelle databeskyttelsesforordning, som er utformet for å samle databeskyttelsesregelverket i alle EUs medlemsland. Det eller betale en bot på opptil 20 millioner euro eller 4 % av selskapets globale inntekter, avhengig av hva som er størst og alvorlighetsgraden av bruddet. Fokusering på personopplysninger bør drive hele GDPR-strategien, politikken og tekniske beslutninger fremover.
GDPR-sjekkliste for å komme i gang
Vi i Rule ønsker å hjelpe deg med å komme i gang med GDPR-strategien din, hvis du ikke allerede har gjort det, ved å sette sammen en sjekkliste for deg :
1. Se gjennom dataene dine
Ta en omfattende titt på alle dataene dine. Vurder hvilken type data du har, hvor sensitiv den er, hvor den oppbevares og hvordan du behandler den. Sørg for at du og teamet ditt forstår forskjellen mellom de strukturerte og ustrukturerte dataene du håndterer for øyeblikket.
- Har du et kunderegister?
- Sender du ut nyhetsbrev eller annen type markedsføring til kundene dine?
- Har du et slags bookingsystem der kunder kan bestille hos deg?
- Har du et register over leverandørene dine?
- Har du bestemt deg for hvor lenge data om dine kunder, leverandører og ansatte skal lagres?
- Beskytter du dataene til dine kunder, leverandører og ansatte?
Vil du dykke enda litt dypere inn i GDPR og alle tilhørende regelverk? Les mer om hvordan bedrifter bør håndtere personopplysninger i henhold til GDPR.
2. Definer dine prosesser og dokument
Etter å ha sett på dataene som organisasjonen din håndterer, er det sannsynligvis trygt å anta at du håndterer en viss mengde sensitive data. Med det i tankene vil neste trinn være å definere prosessene og prosedyrene rundt hvordan du administrerer disse dataene. Hver gang du behandler personopplysninger manuelt eller i et system, kan visse risikoer være involvert. Derfor er det lurt å ha GDPR-kompatible rutiner på plass for å kunne analysere alle aktiviteter knyttet til personopplysninger. Tegn og kartlegg gjerne slik at du lettere har oversikt samtidig som du definerer dine prosesser og dokumenterer.
- Hvilken personlig informasjon har vi?
- Hvordan håndterer vi det?
- Hvilke juridiske rettigheter stoler vi på for forskjellig behandling?
- Hvem har tilgang til personopplysninger?
- Når fjerner vi dem?
- Dokumenterer vi hvordan vi tenker og hvordan vi håndterer kundedataene våre?
3. Sikre håndtering i EU
En annen god ting å spørre deg selv er:
Kan du som bedrift definere hvem som har tilgang til mappene med persondata som du sitter på og lage en protokoll for hvordan disse filene deles internt og eksternt? En viktig og aktuell ting å tenke på er tredjelandsoverføringer. Dette betyr at du må følge med når du sender dokumenter som inneholder personopplysninger via e-post til noen i et land utenfor EU, at leverandøren overholder databeskyttelsesforordningen .
Det er lett å stole på at din egen bedrift håndterer alle personopplysninger innenfor EU riktig. Men de samme reglene gjelder selv om din bedrift har leid inn underleverandører. Du må ha full kontroll over hvem som har tilgang til hvilken informasjon.
Strukturer det som fungerer allerede nå – og du vil spare tid i fremtiden. Les mer om GDPR utenfor EU og hvorfor alle amerikanske leverandører kan ikke lenger håndtere personopplysninger i henhold til GDPR .
4. Implementer dine prosesser og dokumentasjon
Alt du har identifisert og skissert i trinn 1-3 er avgjørende når det kommer til implementeringsfasen. Når det gjelder implementering av nye eller forbedrede prosesser og prosedyrer, anbefaler vi at du ansetter en databeskyttelsesansvarlig (DPO), selv om det kanskje ikke virker nødvendig. Å investere i en DPO kan være et godt valg ettersom det gir deg en dedikert ressurs hvis eneste jobb er å holde virksomheten i samsvar med kravene fra topp til bunn.
5. Skriv en "Databeskyttelsespolicy"
En personvernpolicy og informasjon om håndtering av dine kunders personopplysninger er en sentral del av personvernforordningens sjekkliste. Personvernerklæringen kan også kalles personvernerklæring og personopplysningspolicy, det er flere forskjellige navn på samme type avtale. Formålet med denne policyen er, i henhold til GDPR, å informere kunder så transparent som mulig om hvordan deres personopplysninger håndteres.
Sjekkliste for hva en databeskyttelsespolicy bør inneholde:
- Det må være støtte i databeskyttelsesforordningen for å få behandle personopplysninger
- Samle kun inn personopplysninger for bestemte formål.
- Ikke behandle flere personopplysninger enn nødvendig.
- Sørg for at personopplysningene er korrekte.
- Slett personopplysninger når de ikke lenger er nødvendige.
- Du må kunne vise at du lever opp til personvernforordningen og hvordan du gjør det.
6. Lag et overvåkingssystem – tren opp dine ansatte
Det er viktig å ha full innsikt i bedriftens databehandlingsprosesser. Prioriter avstemmingsaktivitet og korrigerende handlinger basert på områder med høyest risiko. Den enkleste måten å opprettholde synlighet på er å være svært kommunikativ og holde en åpen kommunikasjonslinje med alle involverte, gjennomgå og oppdatere personvernreglene regelmessig.
Gjøremålsliste:
- Varsle bedriftens beslutningstakere og ansatte om kommende endringer.
- Oppdater eller endre dine avtaler med forretningspartnere, leverandører og underleverandører.
- Hvis du jobber med leverandører utenfor EU, må du sjekke at de er GDPR-kompatible.
- Sørg for at alle avtaler med tredjeparter inkluderer beskyttelse mot GDPR-relaterte risikoer.
- Organisere GDPR-workshops for salgs- og markedsavdelinger.
7. Planlegg for "worst-case" scenario
Hvis din bedrift befinner seg midt i en kriminalitet, foreslår vi at du legger en plan for forsvarlig kommunikasjon, samt forebyggende handlingskurs som din bedrift kan prøve å ta. Selv om ikke alle brudd må rapporteres, er den beste tilnærmingen å behandle alle forbrytelser like viktig og å være godt forberedt på selv de verste tilfellene.
Bruk vår GDPR-sjekkliste
Mens den nye GDPR medfører en rekke endringer og overgangen skaper en betydelig mengde ekstra arbeid for organisasjoner, er det en god ting. Den nye GDPR holder oss ansvarlige for hvordan vi behandler og administrerer sensitiv informasjon, og gjør oss selv og menneskene vi gjør forretninger med tryggere i den digitale verdenen vi lever i – ikke bare i dag, men også i fremtiden.
Forhåpentligvis vil denne GDPR-sjekklisten hjelpe organisasjonen din i overgangen, enten du akkurat er i gang eller allerede er på vei!
Trenger du hjelp med din GDPR-strategi? Kontakt oss!
Kom i gang med Rule i dag, helt gratis i ubegrenset tid.