Måten vi samler inn og oppbevarer data på, er i endring, og i 2018 kommer den største endringen innen databeskyttelsesregler på mange tiår. Implementeringen av personvernforordningen General Data Protection Regulation (GDPR) i mai 2018 innebærer strengere regler for hvordan data skal beskyttes, behandles og brukes av selskaper.
Rafal Jaczynski, Chief Security Information Officer hos Staples, tar her for seg de kommende endringene innen datasikkerhet og hvorfor det er avgjørende at du er klar over hvordan det kommer til å påvirke deg i arbeidslivet.
Hva innebærer personvernforordningen og hvorfor er den så viktig?
«[GDPR] regulerer den lovlige bruken av personlige data og sikrer at bruken av disse dataene overholder forskriftene. Det er etter min mening den mest banebrytende personvernlovgivningen på dette området de siste 20 årene», sier Jaczynski.
Dette er fordi personvernforordningen vil sørge for en enhetlig tilnærming til databeskyttelse i hele EU og beskytte personvernet og de personlige dataene til alle EU-borgere, noe man knapt har forsøkt tidligere i så stor skala.
Implementeringen av personvernforordningen innfører mer avanserte og omfattende krav til etterlevelse og ansvarlighet, og alle selskaper som befinner seg i EU eller samhandler med EU, må overholde bestemte krav.
De nye bestemmelsene som innføres i denne personvernforordningen, innebærer at selskaper må innhente tillatelse fra EU-borgerne når det gjelder hvordan de personlige opplysningene deres skal brukes. Enkeltpersoner får også større rettigheter rundt sine personlige data. Definisjonen av personlige data er nå også blitt mye videre.
«Personlige data er alle data som er knyttet til en identifisert eller identifiserbar person. Hvis personen kan identifiseres innen en gruppe eller det skal ganske lite til for å identifisere vedkommende (dvs. ved å bruke indirekte identifikatorer som bonuskortnummer, telefonnummer, bruker-ID, informasjonskapsler, IP-adresser, kredittkortnummer), så behandler du personlige data som er underlagt bestemmelsene i personvernforordningen», sier Jaczynski.
Alle selskaper som har virksomhet i EU, blir underlagt bestemmelsene i personvernforordningen, og de som ikke sørger for etterlevelse av disse bestemmelsene innen de trer i kraft, blir straffet med høye bøter: det høyeste av opptil 20 millioner euro eller 4 % av årsomsetningen på verdensbasis.
Hva må selskaper gjøre for å sørge for etterlevelse?
«En sjekkliste med selv de mest grunnleggende spørsmålene kan hjelpe virksomheter med å finne ut om de etterlever de nye reglene … og hvis de ikke gjør det, begynner tiden å løpe ut», sier Jaczynski.
Selskaper med mer enn 250 ansatte må ansette en personvernansvarlig som får ansvar for hvordan data samles inn og lagres. Selskaper med mindre enn 250 ansatte må også etterleve personvernforordningen. De må se på hvordan de behandler data, og hvilke endringer de må gjøre for å sørge for etterlevelse.
«Finn en person som kan få organisasjonen til å ønske å etterleve reglene, i stedet for at man bare føler det er en forpliktelse. Vurder risikoen og invester klokt med tanke på de bøtene som kan komme hvis dere ikke etterlever bestemmelsene», råder Jaczynski.
Det er en rekke andre spørsmål og prosesser som organisasjonen din må gå gjennom for å sørge for at dere er klare for personvernforordningen. Han nevner følgende:
«Bruker dere personlige data kun til de formålene de samles inn for? Er dere sikre på at det ikke brukes mer personlige data enn det som strengt tatt er nødvendig? Fjerner dere dataene når det ikke lenger er behov for dem? Er det mulig å fjerne dem ved forespørsel? Har dere tenkt gjennom alle systemene og alle de geografiske områdene der dataene behandles?»
Det er helt avgjørende å sørge for at både du og de ansatte i organisasjonen er fullstendig klar over hva som kreves av dem når det gjelder personvernforordningen.
Med de nye bestemmelsene må organisasjonen din rapportere alle brudd på datareglene innen 72 timer for å unngå en stor bot. Spørsmålene du må stille deg, sier Jaczynski, er følgende: «Hvor mange sikkerhetshendelser har dere hatt denne uken, og er dere klare til å rapportere brudd på reglene rundt personlige data innen 72 timer?»
Jo tidligere dere tenker over og forbereder dere på personvernforordningen, desto enklere blir det når endringen trer i kraft.
Jaczynski sier følgende: «Selv om det i bunn og grunn er snakk om et sett med enkle prinsipper – personlige data skal bare håndteres på en lovlig, rimelig og åpen måte – kan det for mange virksomheter likevel være snakk om store endringer.»
Hvorfor det er viktig å endre kulturen rundt personvern
Det å skape en «personvernkultur» handler om mer enn bare å følge de nye reglene for databeskyttelse. Bedrifter må ha kjennskap til hvordan de ulike rollene i bedriften blir berørt av implementeringen av personvernsforordningen, og de må sørge for at de er fullt ut klar over hva denne nye forordningen innebærer.
«I Staples Solutions stiller vi oss tre grunnleggende spørsmål: Har vi rett til å samle inn og behandle dataene? Er det lovlig og sosialt akseptabelt? Hvis svaret på dette er ja, er vi så i stand til å gjøre det på en ansvarlig måte? Og sist, men ikke minst: Er vi åpne nok rundt hva vi gjør med de personlige dataene til kunder og ansatte?
Det å stille seg disse spørsmålene én gang, er en god start. Det at kollegaene dine stiller seg disse spørsmålene som en del av den daglige virksomheten, er en kultur.»
Ved å introdusere en ny måte å tenke på, skape nye prosesser rundt personvern og «lede an fra toppen» burde du være i stand til å få på plass en ny personvernkultur uten store problemer.
«Når det gjelder personvern, må du huske at du ikke egentlig eier noen personlige data. Alle dataene du behandler, har de reelle eierne overgitt til deg, og [du bør] beskytte deres personvern på samme måte som du normalt vil at andre skal beskytte ditt eget.»
Du kan ringe en Lyreco-representant på følgende nummer:
02272
Du kan også fylle ut skjemaet nedenfor, så vil en av våre representanter ta kontakt med deg innen kort tid.
