I skrivende stund er det 473 dager, 12 timer, 31 minutter og 53 sekunder til den nye personvernforordningen trer i kraft. Merk at fristen for oss i Norge er den samme!

Personvernforordningen innebærer flere rettigheter for personer som får registrert sine personopplysninger og forordningen medfører skjerpede krav og plikter til bedrifter og organisasjoner som behandler personopplysninger. Den 25. mai 2018 må alle norske virksomheter ha funnet, vurdert og klassifisert alle personopplysninger som er lagret i bedriftens IT-systemer. Og papirarkiv! Virksomhetene må ha etablert et rammeverk bestående av styringsmodeller, metoder, rutiner, prosesser, organisasjon og roller i tillegg til et IT-system som er i stand til å lagre og slette riktig informasjon. Og så må man kunne dokumentere alt dette.

Les her om Michael Jacobs (adm. dir. i Atea Norge) kritikk av Datatilsynet, som han mener gjør for lite for norske virksomheter.

Datatilsynets (DT) rolle endres vesentlig gjennom den nye forordningen. Som tilsynsmyndighet kan de ilegge overtredelsesgebyr på inntil 20 mill. € eller 4 % av den globale årsomsetningen.

Datatilsynet skriver følgende:

  1. Ha oversikt over hvilke personopplysninger som behandles
  2. Sørg for å oppfylle dagens lovkrav
  3. Sett dere inn i det nye regelverket
  4. Lag rutiner for å følge de nye reglene

Det første punktet er en komplisert og tidkrevende oppgave.

  • Hvilke personopplysninger har man lov til å lagre?
  • Hvordan finner man informasjonen på en effektiv og repeterbar måte?
  • Hvilke data skal man lete etter?
  • Hvordan finner man informasjon som er lagret i fagsystemer, HR-systemer, databaser, SharePoint, mailservere, filservere, Dropbox og på lokale harddisker?
  • Hvordan søker man effektivt i et papirbasert arkiv?

Det er viktig å ha en løsning som gjør det mulig å håndtere store mengder data. Løsningen bør gi virksomheter mulighet til å finne informasjon som utgjør en risiko samt rask og effektiv håndtering på en forskriftsmessig måte. En komplett verktøykasse som:

  • gjør regelbaserte søk etter filer, og utfører intelligent innholdsanalyse
    • identifisere filer med definert risiko
    • ekstrahere relevante metadata
    • klassifisere og flytte filer som ikke er i samsvarer, til et moderering system
  • modererer og validerer informasjon
    • utføre automatiske eller manuelle prosesser (lagre, slette, arkivere, loggføre)
    • klassifisere og godkjenne basert på risiko og kategorier
    • matche filer mot personer
    • flytte risiko-filer til arkiv
  • arkiverer informasjon og bevisførsel i samsvar med kravene i personvernforordningen
    • flytte SIP filer inn i arkivet
    • sette oppbevaringsregler på filer
    • gjøre filer søkbare i hht. sensitivitets- og tilgangsregler

Arkivet bør også kunne benyttes til å implementere Privacy-by-Design kravene ved å:

  • håndheve reguleringer på ett sted, og unngå kostbar re-design av utgåtte og in-aktive IT-systemer
  • flytte alle in-aktive (read-only) applikasjonsdata til arkiv slik at de er i samsvar med forordningen
  • stenge ned kostbare in-aktive applikasjoner (application decommission)

Med en komplett løsning er det mulig å håndtere alle typer informasjon. Ustrukturert informasjon (80%) som er lagret både i levende og «legacy» IT-systemer. Med arkivløsning er det mulig å håndtere opptil 10% av strukturerte data, og resten som ikke håndteres er levende informasjon (In flight data) under produksjon som eventuelt kan flyttes til arkivet senere.

IT-løsningen bør kunne håndtere den mest arbeidskrevende og kritiske oppgaven ved personvernforordningen.

 

 

Om Rune Hagbartsen

Rune er direktør i divisjon privat og medlem av Computas ledergruppe. Han har mer enn tyve års bransjeerfaring med spesialisert kompetanse innen salgsledelse, direktesalg og forhandlinger. Rune har bred erfaring knyttet til entreprenørskap, løsningssalg og ledelse. Han har alltid hatt fokus på langsiktig samarbeid med kunder og kollegaer.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *