GDPR – hva må egentlig gjøres ?

9 min read

GDPR er en forkortelse de fleste virksomheter må lære seg innen rimelig tid. Dette vil i motsetning til de fleste andre større såkalte «compliance» regelverk gi konsekvenser for absolutt alle virksomheter som samler og lagrer personopplysninger. Og det er en forordning som vil gi bøter hvis den ikke etterleves.

 

 

 

Fred Anda, Managing Partner Nextbridge Advisory AS

 

Det har til nå vært usedvanlig stort fokus på konsekvenser av å ikke etterleve GDPR. Dette skyldes hovedsakelig den potensielle størrelsen på bøtene, og dette kan nok oppleves som en skremselspropaganda som forhindrer en veloverveid tilnærming til hvordan man best skal implementere dette.

Det er viktig å utnytte de mulighetene innføring av GDPR faktisk vil gi. Økt kontroll, oversikt og datakvalitet på persondata gir virksomheten mulighet til å forstå sine kunder enda bedre og dermed tilrettelegge informasjon og produkter på en bedre måte. Dette gjør blant annet at en mer automatisert og datadrevet kundedialog blir mulig, noe som for stadig flere vil være tvingende nødvendig på litt sikt.

Selv om man leser forskrifter og tolkninger av disse opp og ned er det nok mange som fremdeles er litt i villrede rundt hva dette i praksis betyr. Hva må vi sett i gang med? Hvor mye jobb er det egentlig? Dette vil variere ganske mye fra virksomhet til virksomhet og det er nettopp det som gjør det litt vanskelig med en felles «oppskrift» på dette.

Men i all hovedsak dreier GDPR seg for de fleste om 5 områder og hver av disse må man bruke tid på å forstå de praktiske konsekvensene av. (Det er også mange andre detaljer knyttet til GDPR, men dette er hovedområdene som absolutt alle må forholde seg til.)

Dette er:

  1. Oversikt
  2. Datakvalitet
  3. Relevans
  4. Datasikkerhet
  5. Dataansvarlighet

 

1.    Oversikt

Hva er driveren for kravet?

Det at man trenger oversikt over sine lagrede persondata har flere drivere i GDPR.

Enklest å forholde seg til er kanskje kravet om sletting. En kunde kan kreve at alle sine data slettes og at det også gis beskjed til de 3dje parts aktører som har mottatt kundedata at sletting er foretatt.

Hva må gjøres?

Som et minimum må man faktisk vite hvilke persondata man har og hvor disse befinner seg. Dette gjelder alle systemer som lagrer persondata, ikke bare de som fronter kunden.

Dessuten må man vite hvem som bruker hvilke data til hvilket formål.

Men for å virkelig kunne etterleve kravet om sletting må det også defineres noen veldefinerte sletteprosesser med mer eller mindre automatikk avhengig av omfang og kompleksitet.

Hva må slettes? I utgangspunktet all identifiserende personinformasjon, dette kan etter hvert bli ganske omfangsrikt. Mye av denne informasjonen er ofte vital for forretningene på et aggregert/segmentert nivå, det er derfor viktig at personinformasjonen erstattes med anonymiserte data som aggregeres opp og brukes til historisk rapportering, trendanalyser og annen analyse.

Verdi utover compliance:

Verdien knyttet til bedre oversikt er ikke minst mer effektiv innhenting av etterspurt data. Mange virksomheter bruker en stor andel av sin tid til å finne frem til relevante data.

Bedre oversikt vil også bedre informasjonsforståelsen på tvers, forenkle deling og generelt gjøre kommunikasjon rundt persondata enklere.

Oversikt vil også øke innsikten i hvilke data som faktisk er tilgjengelig og vil gjennom det kunne planlegge og prioritere hvordan data skal brukes.

 

2.    Datakvalitet

Hva er driveren for kravet?

Kravet til datakvalitet er ikke eksplisitt formulert, men vil i praksis måtte etterleves når persondata skal eksponeres for kunden, for eks. i forbindelse med portabilitet. Hvis man da for eks. har ulike adresser på kunde må dette konsolideres før eksponering,

Hva må gjøres?

Når man har skaffet seg oversikten må man ha en datakvalitetsgjennomgang. Spesielt bør inkonsistens mellom data avdekkes.

Datakvalitet på persondata er en velkjent utfordring og mange vil (endelig?) se de konkrete fordelene av en dedikert sentralisert masterdataløsning for å sikre både tilgangskontroll, rettigheter, sikkerhet, konsistens og generell datakvalitet på persondata.

Verdi utover compliance:

Økt datakvalitet har mange fordeler, viktigst er kanskje at beslutninger kan gjøres på korrekt beslutningsgrunnlag.

Et annet viktig moment er at god datakvalitet hindrer inkonsistens mellom ulike løsninger og deler av virksomheten, noe som igjen bedrer kommunikasjon og felles forståelse.

En tredje fordel er at det vil øke bruken av rapporter og analyser fordi man stoler på at dette er korrekt.

Et fjerde element som blir stadig viktigere er at datakvalitet muliggjør automatisering, både internt og ikke minst i eksterne løsninger. Dårlig datakvalitet vil kreve manuelle steg for å kontrollere og rette opp data før eksponering.

Sist, men ikke minst; dårlig datakvalitet som eksponeres for kunden vil kunne medføre økt churn og tapt omdømme.

 

3.    Relevans

Hva er driveren for kravet?

Et meget viktig prinsipp i GDPR er kravet om relevans for samling og lagring av persondata. Det har alltid vært et krav om at persondata kun skal brukes til et opplyst formål, men dette er strammet inn i de nye reglene. Man får ikke lenger konsesjon på persondata, men må selv vurdere og kunne argumentere for behovet ved en revisjon.

Særskilt må man ha en klar formening om hvilke persondata som er sensitive og behandle disse med ekstra forsiktighet.

Hva må gjøres?

Når man har oversikten over persondata må man gå igjennom dette og dokumentere hvorfor disse er lagret og hvordan disse er tenkt brukt. Har man ikke gode svar på dette skal man slutte å lagre disse. Det sentrale her er dokumentasjon, men også samtykke fra kunden om lagring og bruk av data. Kravet til samtykke er strammet kraftig inn, dette skal være forståelig og eksplisitt i formen og vil i praksis medføre at disse må samles inn på nytt.

Økt bruk av eksterne data (typisk «Big Data») for å berike persondata er utvilsom en kraftig driver for at et nytt personvern-regelverk er utarbeidet, samtidig er dette et område som pr. i dag er noe vagt formulert. Mye eksterne «big data» som samles har i utgangspunktet et uklart formål fordi det ofte er uklart hva man finner, hva det skal brukes til og hvilken verdi det faktisk har. Artikkelen How big will big data be under the GDPR ? går litt inn på problematikken, spesielt knyttet bruk av profilering i forbindelse med beslutningsprosesser. Med mindre et samtykke er gitt kan man ikke foreta en helautomatisert beslutningsprosess.

Generelt; det er viktig å forstå intensjonen med GDPR og tenke igjennom om denne brytes når nye datakilder skal tas i bruk. Samtykker og dokumentasjon av formål blir svært viktig for å kunne demonstrere etterlevelse.

Pseudonymisation for å unngå identifisering vil sannsynligvis bli veldig viktig for å ikke begrense analysemulighetene på et tidlig stadie før formål og samtykker er på plass.

Verdi utover compliance:

Kravet om relevans tvinger virksomheten til å sette fokus på hvilken verdi de ønsker å få ut av persondata. Det tvinger frem en business case-tankegang som vil øke kvalitet og inntjening på de initiativer som igangsettes.

 

4.    Datasikkerhet

 Hva er driveren for kravet?

Økt datasikkerhet er helt klart hovedintensjonen med GDPR; å hindre at (spesielt sensitive) persondata tilgjengeliggjøres ureglementert og uønsket. Og det er nok her de store bøtene vil kunne komme inn i bildet.

Datasikkerhet kan i all hovedsak deles i to;

  • Korrekt tilgangsstyring slik at kun de som skal ha tilgang får tilgang.
  • Sikkerhet mot innbrudd

 

Hva må gjøres?

Korrekt tilgangsstyring blir viktigere enn før, spesielt gjelder dette intern bruk av persondata til ymse formål. Det har for eks. vært nokså vanlig å gi IT nokså fri tilgang til reelle persondata i forbindelse med systemutvikling. Her vil man i langt større grad måtte operere med testdata og anonymiserte persondata.

Kravet til innbruddssikkerhet er allerede godt ivaretatt mange steder, men de høye bøtene vil nok medføre at de fleste vil måtte revurdere hvordan data beskyttes mot innbrudd. Det må også være veldefinerte prosesser for håndtering av lekkasjer.

En viktig del av sikkerhetsperspektivet er bruk av risikoanalyser (Privacy Impact Assessments) i forbindelse med alle eksisterende og nye prosesser som berører innhenting, lagring og bruk av persondata.

Verdi utover compliance:

Hovedgevinsten med økt sikkerhet rent verdimessig vil være å beskytte omdømme. Men det vil også forhindre spionasje og gjennom det beskytte sine konkurransefortrinn.

 

5.    Dataansvarlighet

Hva er driveren for kravet?

Det må være veldefinert hvem som har ansvar for ulike persondata, det skilles mellom databehandler og dataansvarlig.

Hva må gjøres?

Dette kan tilsynelatende være enkelt å definere, men spesielt i mer komplekse virksomheter med et sterkere systemfokus enn datafokus er dette ofte en vanskelig problemstilling. Ofte er samme type persondata i ulike systemer og uten en felles ansvarlig vil dette ofte medføre inkonsistens uten klare regler for opprydding.

En del virksomheter vil også ha krav på seg til å etablere en særskilt uavhengig personvern-rådgiver (tidl. personvernombud). Reglene for hvem som må ha denne rollen kan ennå virke litt uklare, men vil gjelde alle større virksomheter hvor bruk av persondata er en viktig driver, alle offentlige virksomheter, samt alle de som lagrer sensitive data.

Verdi utover compliance:

Hovedproblemet med manglende ansvar er kanskje at nødvendige tiltak ikke igangsettes. Dette kan være tiltak knyttet til alle de 4 områdene beskrevet over.

Hva hvis vi ikke gjør noe?

Noen vil kanskje tenke; hva er egentlig sjansen for at for eks. en kunde som vil slettes faktisk sjekker dette i ettertid? I utgangspunktet kanskje liten, men konsekvensene er såpass store at mange vil kunne være fristet til å teste dette eller andre deler av GDPR for å bli kvitt noen «brysomme» konkurrenter.

Datatilsynet vil gjennomføre revisjoner og selv om ikke alle norske virksomheter vil få besøk i mai 2018 bør alle være forberedt på dette.

Men først og fremst; for de aller fleste virksomheter vil etterlevelse av GDPR på sikt ha en positiv økonomisk verdi.

Så; har dere ikke startet å tenke på hvordan dere skal etterleve GDPR er det nok på tide, for mange vil nok mai 2018 komme veldig brått …

 

About Fred Anda

Fred Anda er managing partner i NextBridge Advisory. Han har over 20 års erfaring innen IT-bransjen, og er ekspert på løsninger innen business intelligence, business analytics, informasjonsarkitektur, datamodellering, Master Data Management, Information Governance og informasjonshåndtering.