Nye personvernregler fra EU – er du forberedt?

EU flagg

Den nye personvernforordningen fra EU blir norsk lov fra 2018, og vil få store konsekvenser for de aller fleste virksomheter. De som tilpasser seg de nye reglene på en fornuftig måte vil ikke bare oppleve begrensninger, men også muligheter.

EUs nye personvernforordning som ble vedtatt i mai 2016 regulerer håndtering av person-relaterte data gjennom et omfattende rammeverk gjeldende i hele EU og EØS. Forordningen blir nå adoptert i alle medlemsland og omgjort til lov gjeldende fra tidlig 2018, også i Norge.

   >> Se også: Gratis frokostseminar om EUs nye persondataforordning 15. November i Oslo

Med denne helhetlige lovgivningen får alle europeere en rekke nye rettigheter og krav når det kommer til vern og håndtering av våre personlige data. Alle organisasjoner som samler, håndterer eller lagrer informasjon av personlig karakter vil nå måtte forholde seg til – og kunne vise til samsvar – overfor et sett med nye lovkrav. Evner man ikke å leve opp til lovens krav om vern av persondata kan man i ytterste konsekvens måtte betale store bøter på opp mot 20 millioner EUR eller 4% av årlig brutto omsetning – det av dem som er størst.

De nye reglene ivaretar individets rettigheter i den digitale tidsalder samt forenkler den eksisterende lovgivningen for selskaper som opererer på tvers av landegrenser. Personvernforordningen erstatter tross alt eksisterende lover og regler innen personvern og sammenfatter disse i et rammeverk med lik nedslagskraft i hele EU/EØS.

Målet er å gi hver enkelt mer kontroll over personlig data.

Hvordan er virksomheter påvirket?

Påvirkningen på virksomheter er flerfoldig og ingen organisasjoner vil være upåvirket – særlig i lys av det pågående fokus på digitalisering.

Virksomheter må forstå hvilken informasjon som håndteres i dag som er omfattet av det nye regelverket. Samtidig er det viktig å forstå hvordan denne informasjonen er håndtert, hvor og hvorfor vi har den og ikke minst hvordan den er beskyttet. Dette krever forståelse og tilpasning av interne forretningsregler, prosesser, informasjonssystemer og teknologisk infrastruktur.

Dette høres kanskje ut som en kompleks oppgave, og nei, dette er ikke et arbeid som gjøres over natten. Men den gode nyheten er at tiden nå er moden for å starte på oppgaven, og både verktøy og metodeverk ligger allerede til rette for et best mulig utgangspunkt.

De organisasjoner som allerede har oversikt over virksomhetsarkitekturen har et naturlig forsprang i arbeidet med å forstå hvordan de må tilpasse seg dette dynamiske markedet. Og de av virksomhetene som i dag har en sterk kultur for prosessledelse og endring vil evne å tilpasse seg smidigere og mer effektivt.

Qualisoft, med over 20 års spisskompetanse innen prosessledelse og virksomhetsarkitektur, har allerede startet arbeidet med å bistå flere selskap i tilrettelegging for den nye lovgivningen. Dette gjøres med en strukturert og helhetlig tilnærming med utgangspunkt i eksisterende arkitektur. En naturlig måte å dele opp elefanten.

Hva er personopplysninger og hvem er berørt?

Å gjøre seg kjent med hva som menes med personopplysninger er en fin plass å begynne – og definisjonen som tilbys kommer overraskende på flere.

EU definerer personopplysninger som informasjon relatert til et identifisert eller et identifiserbar menneskelig individ – både direkte og indirekte.

Altså er det ikke bare navn, adresser, kredittkortnummer eller brukernavn som regnes, men også epostlister, møtereferat, til og med bilder tatt på siste blåtur – all informasjon som gjør noen gjenkjennbar.

Naturligvis er det også slik at noen typer informasjon krever mer sikker behandling enn annen. For slike sensitive data gjelder spesifikke lovkrav.

Det er tydelig at de nye lovkravene vil påvirke alle selskap som operer i, eller handler med, europeiske nasjoner i EU/EØS. Særlig offentlige organisasjoner og de virksomheter som behandler store mengder personsensitiv data.

De fleste organisasjoner håndterer mer personopplysninger enn de er klar over. Og det du ikke vet kan du ikke kontrollere.

Det er på tide å skaffe seg oversikt.

Hva nå?

Det vil ta en del tid og ressurser å gjøre seg kjent med de nye lovkravene og omstille organisasjonen til å arbeide i henhold til dette. Det er dermed fornuftig å starte på arbeidet allerede nå.

En utfordring flere vil kunne merke er hvor vanskelig det er å identifisere hva loven betyr for akkurat din virksomhet og hva dere må endre. Datatilsynet holder i disse dager på med å bryte ned den 156 siders tunge forordningen til en rekke praktiske retningslinjer og sjekkpunkter som forklarer situasjonen. Dette arbeidet vil dessverre ikke være ferdig før slutten av 2017, bare noen måneder før loven inntreffer i Norge. På tross av det nytter det ikke å utsette arbeidet.

Selv om det ikke enda er klart hva som må endres i din virksomhet vil det lønne seg å opptre proaktivt i denne sammenheng. Start med å forstå din egen virksomhet i kontekst av personopplysninger og etabler et grunnlag for dagens situasjon.

For å klare dette bør du:

  1. Etablere en oversikt over relevante krav og hvor disse treffer dine systemer og prosesser
  2. Etabler en oversikt over hvilke informasjon dere håndterer i dag som er påvirket av den nye loven. Hvilke data du håndterer, hvorfor du håndterer den og hvordan den er behandlet.
  3. Sørg for at organisasjonen systemer og prosesser samsvarer med eksisterende lovkrav – det gir best mulig utgangspunkt!

Qualisofts veikart for å oppnå etterlevelse mot nye EU-databeskyttelse regulering: Begynn med å få en oversikt, forstå hvor loven påvirker din virksomhet og plan for transformasjon.

Den nye loven påvirker organisasjonen på flere ulike nivåer, alt fra prosesser til teknologi som benyttes internt eller for å samhandle med partnere og leverandører.

De som får en oversikt over både den eksisterende og den nye lovgivningen vil være i bedre stand til å utføre en gapsanalyse for å se hvor de må gjennomføre endringer.

Dernest bør virksomheter kartlegge informasjonen de behandler, hvor informasjonen benyttes (hvilke prosesser) og hvor den er oppbevart (systemer og teknologi).

Så fort man har denne oversikten vil man være i stand til å vurdere både hvordan og hvorfor man behandler personopplysninger i forhold til de krav som stilles.

Et databaseverktøy som QualiWare vil gjøre slike operasjoner mer effektive både i forhold til kartlegging og etablering av oversikt, men også i forhold til å vurdere og analysere sammenhenger, relasjoner og samsvarsmåling.

Det informasjonsgrunnlaget som nå har blitt lagt i din organisasjon er hva du trenger for å kunne gjennomføre nødvendige endringer i eksisterende arbeidsrutiner for å møte den nye hverdagen. Kartleggingen av lovkrav som ble gjort i en tidligere fase vil også bidra i dette endringsarbeidet.

Et repository-basert verktøy som QualiWare vil gjøre det lettere å få seg en oversikt over relasjoner på tvers av ulike perspektiver, for eksempel, der kravene berører forretningsprosessene.

Får din virksomhet på plass slike oversikter over systemer og arbeidsrutiner i forhold til behandling av personopplysninger vil dere være godt forberedt til loven trer i kraft i begynnelsen av 2018.

Ikke utsett dette arbeidet til det er for sent!

Muligheter - «Enabling positiv change»

Hvis du tror at det eneste svaret på spørsmålet "Hvorfor må jeg gjøre dette?" er «Fordi jeg må", kan du være trygg på at etterlevelse ikke er det eneste du kan få utav denne oppgaven. Det er ikke bare en juridisk forpliktelse, det gir også flere muligheter til positive forbedringer.

Hvis du tilnærmer deg oppgaven på rette måten kan flere fordeler oppnås:

  • Selskap som operer internasjonalt kan oppnå betydelige økonomiske besparelser gjennom å standardisere sine retningslinjer og arbeidsprosesser
  • Å dokumentere  samsvar med den nye loven vil bygge tillit i markedet og kan også fremme innovativ bruk av data
  • Prosess-basert transformasjon og -ledelse fører til bedre resultater gjennom en mer helhetlig måte å arbeide på, konsistens i endringer og økt konsensus blant ansatte
  • Bedre synkronisering av forretning og teknologi gjennom en helhetlig arkitektonisk tilnærming, noe som resulterer i betydelig lavere IT kostnader og mer effektive prosesser
  • Et generelt forbedret tilnærming til informasjonssikkerhet og overholdelse av internasjonale standarder som blant annet ISO 27001

De første Qualisoft-kundene har allerede startet arbeidet med å tilegne seg kunnskap om personvernforordningen og arbeidet med å etablere oversikt over eget virke. Dette gjøres ved hjelp av informasjon, systemer og prosesser kartlagt i allerede etablerte prosessbaserte virksomhetssystemer.

Det beste rådet er tross alt å være proaktiv og starte arbeidet med å etablere oversikt over egen organisasjon og det kommende lovverket.

Så, er din virksomhet forberedt?

----------------

Ytterligere lesestoff:

 

Andreas Richter
Virksomhetsarkitekt
andreas.richter@qualisoft.no
Stavanger 05.10.2016

Enabling Positive Change

Copyright © Qualisoft 2017