Se for deg dette: Det er slutten av mai, og du har klart å oppfylle kriteriene for EUs personvernforordning – du har oppnådd samsvar med GDPR. Men hvordan sørger du for samsvaret i tiden som kommer?
GDPR-implementeringen var utvilsomt et stort og krevende prosjekt. Det burde også ha blitt tildelt ekstra ressurser, ettersom alle innså at dette var viktig å få på stell. Men nå som deadline er passert og målsettingene er møtt, så går dine kollegaer tilbake til sine vante arbeidsoppgaver. Så hvordan sikrer fortsatt GDPR-samsvar, med halvparten av innsatsen og kanskje halvparten av ressursene?
Lone Forland, Produktspesialist og Training Excellence Manager hos Neupart, sier at nøkkelen er å skape en årlig syklus av GDPR-samsvaret. "Det er lettere sagt enn gjort, og tanken på å skape et årshjul av samsvaret kan virke litt overveldende. Men det trenger det ikke å være, så lenge du begynner med å bryte prosjektet ned i mindre deler," sier hun.
GDPR-samsvar – steg for steg
Lone Forland sammenligner situasjonen med et rengjøringsprosjekt: "Tenk deg at du har en oppgaveliste som bare sier: Rengjør huset. Det virker jo enkelt nok, men på en eller annen måte vet du ikke helt hvor du skal begynne, og tanken på å gjøre hele jobben virker nærmest umulig. Men hvis du deler rengjøring opp i mindre oppgaver, som: Støvsuging, tørke støv, vaske klær, etc, og i tillegg får delegert noen av oppgavene til de andre i huset, så er det hele straks mer gjennomførbart."
Når du oppretter et kontinuerlig compliance-prosjekt for GDPR, kan du nærme deg det på den samme måten: Istedet for at det bare står GDPR-samsvar på ToDo-listen din, kan du dele den op i mindre, oversiktlige deler, som f.eks. mapping av personsensitive data, utføre en GAP-analyse, lære opp ansatte, etc. Disse oppgavene kan igjen deles opp i mindre oppgaver, dersom det er nødvendig. Og – ikke minst – må individuelle oppgaver delegeres til de rette personene, slik at hele prosjektet ikke hviler på skuldrene til én ansatt.
Integrere en årlig syklus for samsvar
Når du har en idé om hva ditt GDPR-prosjekt innebærer, er neste skritt å lage en tidsplanfor når hvert prosjekt bør være ferdig. Straks begynner årshjulet ditt å ta form. Samtidig er det gjerne her du møter hindringer, som f.eks. mangel på tilgjengelig tid og konkurrerende timeplaner. Lone Forland skisserer tre tips for å sikre at den årlige syklusen blir vellykket:
- Koordinering: Ved delegering av prosjekter er det viktig å ta hensyn til de ansattes kalender. "For eksempel; hvis markedsavdelingen har en viktig kampanje som går på våren,vil de sannsynligvis ikke prioritere et GDPR-prosjekt i løpet av den tiden. Da er det bedre å tildele dem et GDPR-relatert prosjekt en annen tid på året," forklarer Lone.
- Delegering: Lone understreker at det ikke er nok å tildele en oppgave. Noen må også ta ansvar for den: "Opt-in avkryssningsfelt i skjemaene på nettsidene deres? Sørg for at Petter på markedsføring gjør det, og sørg for at han har tid og ressurser til å vedlikeholde skjemaene, slik at de alltid lever opp til GDPR."
- Gjenbruk: Til slutt understreker Lone Forland at du bør gjenbruke eksisterende prosedyrer så langt det lar seg gjøre: "Ikke bygg enda en silo av regler og prosesser. Bruk eksisterende prosesser der det er mulig. Dette minimerer ekstra arbeid og gjør integrasjonen av GDPR-relatert arbeid mer sømløst."
