Anledningen till att GDPR är högt på agendan just nu är självfallet att förordningen träder i kraft redan nästa år och ställer så omfattande krav på alla branscher, företag och organisationer som hanterar personuppgifter att det börjar bli bråttom. Vår VD Peter Hellgren intervjuades av Computer Sweden på temat så sent som häromveckan.
Notera ALLA i föregående stycke – förordningen är gigantisk i det avseendet att vartenda företag och organisation som sparar eller hanterar personlig information om anställda och kunder inom EU behöver anpassa sina organisationer, rutiner, processer och system. Med dagens uppkopplade samhälle och digitalseringsracet som pågår i varje bransch så innebär detta att både du och jag berörs och de facto måste agera på GDPR.
Vi som varit med i IT-branschen sedan sekelskiftet minns hysterin när millenniebuggen förväntades slå ut vitala system och samhällsfunktioner vid klockslaget för nyår år 2000. Under flera år förbereddes system över världen och det spenderades miljarder för alla anpassningar. GDPR är inte ett hot på samma sätt utan snarare ett EU-gemensamt regelverk, men i jämförelse är GDPR:
mer omfattande (kräver anpassning av organisation, rutiner, processer och multipla system/datakällor)
påverkar alla (branscher, organisationer, företag och individer)
- medför höga sanktionsavgifter vid överträdelser (upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen)
- …och tiden är mer knapp att förbereda sig (träder i kraft redan nästa år).
Komplexiteten som GDPR-regelverket medför i kombination med det faktum att verksamheter idag har fler separata system/kanaler/datakällor än någonsin för sin insamling, lagring, användning och delning av personrelaterad data ställer helt nya krav på organisering, dokumentation och IT-stöd. Bara detta är en mycket tidskrävande och omfattande omställning för de flesta. Fundera exempelvis på följande frågeställningar och kom ihåg att det endast belyser ett mindre urval av alla de perspektiv som GDPR reglerar:
- Har vi ett register över all data vi hanterar?
- Har vi individens samtycke för lagrad data?
- Hur knyter vi insamlad data till individer idag?
- Är våra IT-system och digitala tjänster anpassade för GDPR?
- Hur påverkas molntjänster vi använder av GDPR?
- Dokumenterar vi hela ”livscykeln” för en personuppgift vi hanterar?
- Kan vi enkelt ta ut en sammanställning av alla personuppgifter vi lagrar om en individ i alla våra system och källor?
- Har vi rutiner och processer för att kontinuerligt efterleva regelverk och underhålla vår data?
- Allt detta till trots så pekar flera undersökningar den senaste tiden i samma riktning. Ledningsgrupper har inte planen klar och frågan är fortfarande på bordet hos de flesta – hur förbereder vi oss inför GDPR och vad behöver vi göra?
Vi på Consid hjälper just nu organisationer och företag att bli ”GDPR ready”. Dels har vi ett uppskattat tema-seminarium som pågår under mars och parallellt har vi tagit fram en 6-stegs process som hjälper våra kunder omfamna alla perspektiven – ledning, rutiner, processer och system. Förenklat är stegen i processen:
- Skapa medvetenhet och säkerställ kunskap
- Kartlägg nuläge, påverkan och identifiera åtgärder
- Utse ansvariga och rådgivare
- Genomför datamappning
- Genomför processmappning
- Genomför GAP-analys och handlingsplan
Behöver ni en kickstart kring GDPR rekommenderar jag att du anmäler dig eller berörd kollega till vårt kostnadsfria seminarium som går över utvalda orter nu i mars. Här finner du anmälningssida och mer information.
Har du redan kommit igång och vill veta mer om hur Consids process kan stödja er genom förberedelser, kartläggning och handling, eller om du vill veta mer om vårt affärsområde Interactive, tveka inte att kontakta oss för en workshop eller djupare presentation.