GDPR: Nu är det bråttom att bli redo

Ta del av erfarenheter från hundra GDPR-projekt.

GDPR

Advokaten Jan Sandtrø och DLA Piper har bistått i nästan hundra GDPR-projekt. Här sammanfattar han vad man bör göra - och inte.

Tiden går fort och redan den 25 maj 2018 träder GDPR, EU:s nya personuppgiftslag, i kraft. Just nu pågår många projekt inom verksamheter och organisationer för att bli redo för GDPR, men vissa företag står fortfarande och stampar med GDPR-arbetet.

Jan Sandtrø på advokatfirman DLA Piper är en av Norges främsta advokater inom GDPR-området och har hjälpt nästan hundra företag att bli redo för GDPR.

Hans erfarenhet är att GDPR-projekt kan genomföras på relativt kort tid, ofta mellan en till tre månader. Det förutsätter att verksamheten tillsätter tillräckliga resurser och att man har rådgivare som tillhandahåller nödvändiga verktyg och hjälpmedel för att säkerställa att projektet kan utföras på ett bra sätt.

- Ett GDPR-projekt är något som måste genomföras, men om det görs korrekt så behöver det inte vara ett omfattande projekt. Och om du ska bli redo inför den 25 maj 2018 gäller det att inleda arbetet så snart som möjligt, betonar Jan Sandtrø, advokat partner på DLA Piper med specialistkunskap inom teknologi.

Den erfarna advokaten säger att GDPR-projekten kostar ungefär samma som mindre it-projekt.

- Om man använder rådgivare, till exempel advokater, som har erfarenhet av liknande projekt borde det inte ta mer än 100-150 timmars arbete (om man bistår en medelstor verksamhet). Sedan är det givetvis beroende av hur mycket arbete verksamheten själv gör, säger Sandtrø.

EG GDPR Assistant hjälper dig att bli redo för GDPR

Positiva effekter

Det kan tyckas onödigt att inleda ett GDPR-projekt, men DLA Piper-partnern betonar att GDPR-projekten ger mycket positivt till verksamheterna när det gäller bättre kontroll av personuppgifter och andra rutiner. De kan också minska kostnaderna och risken för dataintrång samt andra brott mot integriteten, vilket i sin tur minskar risken för böter och försämring av företagets rykte. I den här artikeln får du ta del av advokatens råd.

 

Omkring 80-90 procent av problemställningarna kommer att vara desamma inom alla verksamheter och organisationer, så det är i hög grad möjligt att överföra kunskap och erfarenhet mellan projekten. Jan Sandtrø, DLA Piper

 

Välprövad och bra metodik är avgörande

En metod som är välbeprövad, bra och lämplig för GDPR-projekt måste användas för att säkerställa att projektet inte drar ut på tiden och att kostnaderna inte skenar iväg. Man bör undersöka om rådgivaren använder en metod som är lämplig för GDPR-projekt och att de har erfarenhet av att använda metodiken för liknande projekt.

Många problemställningar återkommer. Omkring 80-90 procent av problemställningarna kommer att vara samma inom alla verksamheter och organisationer, så det är i hög grad möjligt att överföra kunskap och erfarenhet mellan projekten. Därför bör man samarbeta med konsulter som har arbetat med många liknande projekt och som har mallar och standarddokument.

Mallar, verktyg och exempel

För att projekten ska kunna genomföras på ett effektivt sätt och till rätt kostnad krävs mallar, verktyg och exempel innan projektet påbörjas. I de flesta GDPR-projekt är det dock inte nödvändigt att förbereda dokument, checklistor, mallar, regler, förfaranden, rutiner osv. från början.

Dra nytta av möjligheterna med GDPR

GDPR skapar också många möjligheter. Genom att hålla koll på möjligheterna i början av projekten kan GDPR också innebära besparingar och minskade kostnader.

I de projekt som vi har bistått i minskas kostnaderna till följd av sanering av it-lösningar, samtidigt som lagringsmetoderna optimeras. Dessutom har säkerhetskopieringar utvärderats. Man har man rensat i arkiven, både de fysiska och digitala och därmed frigjort kapacitet. Vi har också sett att genomgång av kundlistor och ökad datakvalitet i t.ex. i CRM-system, har resulterat i ökade intäkter för verksamheter. När man måste kontakta befintliga och potentiella kunder kan det generera ökad ny- och merförsäljning.

Så skapar du digital konkurrenskraft 

Onödig rapportering

I samband med compliance-projekt kan en rapport skrivas efter kartläggningsfasen för att visa avvikelserna. Vår erfarenhet visar att detta är onödigt tids- och resurskrävande. Använd hellre ett mer flexibelt tillvägagångssätt genom att antingen korrigera avvikelser kontinuerligt (vissa avvikelser gäller för alla verksamheter, så detta kommer att korrigeras så snart projektet inleds) eller för att skapa en avvikelselista/uppgiftslista/statuslista, som görs parallellt med andra uppgifter. I slutet av projektet kan man ta fram en rapport som bekräftar att allt är rättat, men det bör inte vara omfattande och kan ha samma karaktär som en checklista.

Bristande dokumentation

De flesta verksamheter saknar rutiner och dokumentation, vilket är naturligt eftersom GDPR innebär andra krav än vad som tidigare ställts. Det är dokumentation som ska bekräfta att rutiner och processer har implementerats. Det förutsätts att rutiner och processer har implementerats för att säkerställa att dokumentationen är på plats. Sådan dokumentation måste genomföras och som nämnts ovan är det en fördel att anställa rådgivare som har detta på plats. 

 

Vi har sett att genomgång av kundlistor och ökad datakvalitet t.ex. i CRM-system, har resulterat i ökade intäkter för verksamheter. Jan Sandtrø, DLA Piper

 

Det tar tid

Implementeringen av rutiner och processer inom organisationen tar tid och det är inget som kan delas ut till externa rådgivare. Tänk på att dokumentationen endast är en bekräftelse på att implementeringen har gjorts. Så för att ha tillräcklig dokumentation på plats förutsätts det att rutiner och processer för behandling av personuppgifter i enighet med GDPR finns på plats inom organisationen och att det ingår i den dagliga verksamhet.

Det är avgörande att verksamheten tillsätter tillräckligt med resurser för projektet. Speciellt när det kommer till kartläggning och implementering är det själva verksamheten som måste stå för resurserna och göra det mesta av arbetet. Rådgivarna är avgörande för att bidra med rätt verktyg och råd i dessa faser, så att kartläggning och implementering görs effektivt, men genomförandet måste göras av företaget.

Tro inte att en programvara eller ett system kan göra dig redo för GDPR. Det kan göra det enklare att uppfylla enskilda krav i GDPR, men det kommer aldrig att vara tillräckligt för att efterleva GDPR. Det är behandlingen som sker inom verksamheten (inte systemen) som är nödvändig.

Personbiträden är inte redo

Många personbiträden är inte redo för GDPR och de har varken dokumentation eller personuppgiftsbiträdesavtal på plats. Detta gäller också för större globala verksamheter och det kan skapa problem för den personuppgiftsansvarige som vill bli redo för GDPR. Då är det viktigt att verksamheten har ett personbiträdesavtal redo (och nej, Datainspektionen har inte en sådan mall, men rådgivare med erfarenhet brukar ha detta).

Vad är ett personuppgiftbiträde och ett personbiträdessavtal?

Ett personbiträdesavtal är ett avtal mellan en personuppgiftsansvarig och ett personuppgiftbiträde. Ett personuppgiftsansvarig är den person som bestämmer att personuppgifter ska samlas in och behandlas samt var de ska behandlas. Till exempel kommer ett företag med anställda att ansvara för personuppgifter för medarbetarna, till exempel gällande information som är relaterad till löner. Om verksamheter använder ett annat företag för lönebetalningar kommer dessa att vara personuppgiftbiträde, eftersom de behandlar personuppgifter på uppdrag av verksamheten.

Sluta i tid

Du måste efterleva GDPR, men inte i större utsträckning än vad lagen kräver. Därför är det viktigt att projektet handlar om målet: Att efterleva GDPR. Projektet måste vara klart när det är i mål och ska då avslutas. Projektets omfattning beror på den riskprofil som verksamheten har valt för GDPR. Det kan finnas skäl till att fortsätta projektet för att uppnå andra fördelar, men det bör drivas som separata projekt.

Ta reda på hur EG kan hjälpa dig att uppnå din digitala potential