Støvet har lagt seg etter de første GDPR-rundene, men arbeidet med den nye personopplysningsloven er langt fra over. Det er mange virksomheter som har gjort en god jobb så langt, men uten operativt og dokumentert styringssystem for informasjonssikkerhet og personvern, risikerer virksomheter store bøter.

Basert på erfaringen til Habberstads GDPR-rådgivere, ønsker vi å trekke frem tilfeller hvor norske virksomheters rutiner ikke samsvarer godt nok med den nye loven.

5 vanlige GDPR-fallgruver:

1. Styringssystem for informasjonssikkerhet og personvern (ISMS)

Mange små og mellomstore virksomheter glemmer at kravene til et dokumentert og operativ ISMS er en del av GDPR og må være på plass.

Det står bare «gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning» i GDPR. I praksis er det ISO 27001 som er den mest anerkjente standarden for et styringssystem for informasjonssikkerhet og personvern. Denne må kjøpes fra Standard Norge, det er et omfattende arbeide som ofte virksomheten ikke kjenner til.

Case: Hvordan Habberstad bisto Utdanningsforbundet med GDPR

Arbeidet med personvern må inngå i de operative rutiner, og ikke være et separat tillegg.

2. Roller og ansvar

Med nye, strengere krav til informasjonssikkerhet og personvern må virksomhetene tenke nytt. Vår oppfatning er at ledelsen ser alvoret, men det er ikke opplagt hvordan ansvaret skal deles ut til ansatte i virksomheten.

Tidligere har det vært vanlig å utpeke en informasjonssikkerhetsansvarlig, som skal ha hovedansvaret for informasjonssikkerhet i virksomheten. Dette har nok aldri vært en veldig god måte å ta ansvar på, men det var en vei i riktig retning, at noen hadde fokus på informasjonssikkerhet.

Men dagens trusselnivå og krav må informasjonssikkerhet og personvern være et linjeansvar og gjerne inngå i ledernes stillingsbeskrivelser. Det er, som et eksempel, HR-sjefen som er ansvarlig for alle personopplysninger innen sitt domene, uansett hvor de befinner seg – som for eksempel applikasjoner, e-post, SharePoint, Facebook eller filområder. Så kan system- eller prosesseiere få delegert oppgaver for sitt system eller prosess.  Det overordnede ansvar for ISMS’et må legges til en leder med rollen som CISO eller SCO. CISO får ansvaret for å vedlikeholde ISMS, veilede og følge opp alle ansvarlige i linjen og rapportere til ledelsen i ledelsens gjennomgang.

IT-sjefen er i tillegg til systemeier for de sentrale system og verktøy virksomheten anvender, også egnet som en informasjonssikkerhetsrådgiver, som hjelper linjen med informasjonssikkerhet, risikovurderinger mer der.

3. Manglende administrativ støtte for ISMS

Det viser seg at det å administrere et ISMS i en stor og sammensatt virksomhet er veldig krevende. Det er mange rolleinnehaverne som har en rekke periodiske oppgaver. Protokoll skal vedlikeholdes, risikovurderinger skal gjennomføres, kanskje også DPIA, databehandleravtaler skal oppdateres, avvik skal behandles, tilganger skal kontrolleres, med mer.

Det finnes en rekke verktøy som gjør dette arbeidet lettere. Vi anbefaler Iconfirm, som er et prosessorientert fag-system for administrasjon av ISMS. Her ligger prosesser (behandlinger) som kan bruke flere systemer, risikovurdering koblet opp til behandlingen, DPIA som et påbygg til protokoll og risikovurdering, avvikshåndtering, mulighet for å generere databehandleravtaler, håndtering av registrertes samtykker og rettigheter, med mer.

Mye av dette kan legges opp som gjentagende oppgaver som kan sjekkes ut av den ansvarlige systemeier og CISO. Iconfirm vil får frem et dashboard over gjennomføringsgrad som gir CISO og ledelsen et godt innblikk i etterlevelse ved ledelsens gjennomgang.

4. Avviksrapportering

Det jobbes mye med kravene til avviksmeldinger med tidsfrister for melding til Datatilsynet og eventuell beskjed til den enkelte registrerte.

Vår erfaring er at det er mange virksomheten som ikke har klart definert hva kravene faktisk er, og dermed ikke vet hva som er et avvik. Derfor er det behov for bedre veiledere for informasjonssikkerhet og personvern som er tilpasset ulike målgrupper. Ansatte, innleide, medlemmer, studenter eller andre må få vite hvilke krav som stilles til dem. Da vet de også når det oppstår et avvik.

Hvordan kan du oversende sensitive personopplysninger over internett? Du kan for eksempel ikke bare si at du ikke kan sende sensitive personopplysninger på e-post; veilederen må si hvordan du skal gjøre det. På den måten kan du vite når det skal meldes et avvik gjennom virksomhetens avviksrapporteringssystem.

5. Endringsledelse

Et styringssystem, roller og ansvarsforhold og delegerte oppgaver, er som beskrevet over, sentralt for gjennomføring av arbeidet med personvern. Samtidig viser våre erfaringer hvor viktig det er at nye forhold og endringer som skal innføres, planlegges og håndteres på en god måte for å oppnå oppsatte mål og nytteverdier for organisasjonen.

Noen av nøkkelpunktene for å oppnå en suksessfull endringsprosess er informasjon, kommunikasjon og opplæring. 

Her er det viktig med gode endringsledelse. At de ansatte først får bevissthet om at informasjonssikkerhet og personvern er viktig, de må ha et ønske om å bidra, de må ha den kunnskapen som kreves og sette dem i stand til å utføre oppgavene. Og så må det repeteres.

Case: Hvordan Habberstad bisto Boots Norge med GDPR

Ledelsesinvolvering

Vår erfaring er at toppledelsen i de fleste virksomheter i dag tar personvern på alvor og involverer hele ledelsen i arbeidet med personvern. Dette er veldig bra og en vesentlig endring fra tidligere. Vi er også sikre på at denne involveringen fra ledelsen er helt nødvendig for å lykkes med arbeidet med å få en varig endring og god praksis på personvern.

Personvernarbeidet må inn i rutinene

Tidligere i artikkelen har vi tatt opp ansvar og hvordan det kan organiseres. Vi har også vært innom operativt ISMS, og mener at dette er helt nødvendig å ha på plass, og at det må fungere. Videre er behandlingsansvarlig ansvarlig for at dette skjer, både gjennom sine holdninger og handlinger. Til slutt, og som mål, må alle i virksomheten informeres og være innforstått med hva som kreves av dem gjennom gode veiledere og annet materiale, i en lett tilgjengelig informasjonsarkitektur og kanal.

Bevisstheten rundt personvern kommer ikke på plass av seg selv. Nøye planlagte innføringstiltak, informasjons- og kommunikasjonskampanjer og opplæring er nødvendige, og ledelsen må ta personvern inn i det daglige arbeidet.