GDPR, eller officielt den generelle forordning om databeskyttelse 2016/679, træder i kraft den 25. maj 2018.
Det betyder, at du nu har mindre end 19 måneder til at forberede dig på det, der er den største omvæltning inden for databeskyttelse i det seneste årti. Virksomhederne, deres ansatte og deres tredjeparter har derfor mindre end 19 måneder til at forberede sig på betydelige forstyrrelser i den måde, de opbevarer, håndterer og behandler personoplysninger på.
Så hvordan kan du som virksomhed se skoven for bare træer? Hvad bør du fokusere på, og hvis du skulle kategorisere dem i en top 5-prioritetsliste over ting, du som virksomhed bør gøre, hvad ville det så være?
- Forstå anvendelsesområdet for GDPR
- Forstå anvendelsesområdet for GDPR
Den primære forskel mellem den tidligere databeskyttelsesforordning og den nye GDPR-forordning er i al sin enkelhed alder. Ligesom mange af vores forfædre blev den tidligere forordning født i en tidligere generation, f.eks. før internettet, Facebook og Google kom frem. Den nye forordning har et vidtrækkende anvendelsesområde, der er vidtrækkende.
For det første skal alle virksomheder, der behandler EU-borgeres personoplysninger eller overvåger deres adfærd, eller som kan have personale, der arbejder i EU, overholde GDPR. GDPR har også en ekstra territorial rækkevidde, og derfor kan GDPR stadig finde anvendelse, hvis du er en organisation uden for EU, som ikke engang har en fysisk tilstedeværelse i EU.
- Identificere pålæggelse af yderligere forpligtelser
GDPR kræver gennemsigtighed, når der gives oplysninger til enkeltpersoner om behandlingen af deres personoplysninger. Det er vigtigt, at organisationer gennemgår deres meddelelser og politikker om beskyttelse af personlige oplysninger for at sikre, at alle nødvendige oplysninger gives til enkeltpersoner.
Samtykke er fortsat en af grundene til videre behandling i den nye forordning, men der er nu en højere tærskel end tidligere. På grund af den højere tærskel bør organisationer fokusere på at opnå en klar og ubundtet kundetilladelse, hvis de ønsker at anvende denne begrundelse for behandling. Det er også værd at bemærke, at beviser eller beviser for dette samtykke er af afgørende betydning, og derfor skal logning og opbevaring af registreringer være af højeste standard.
- øge bevidstheden om de rettigheder, som den registrerede har
GDPR har indført en række nye og udvidede rettigheder for enkeltpersoner med hensyn til deres personoplysninger. De registrerede har ret til at få adgang til, overføre, begrænse og gøre indsigelse mod behandlingen af deres personoplysninger. De registrerede kan også kræve, at deres personoplysninger overføres til dem eller direkte til en ny udbyder i et interoperabelt, maskinlæsbart format. Dette gælder, hvis den registrerede har givet den registeransvarlige oplysningerne, hvis de behandles automatisk eller behandles på grundlag af samtykke eller opfyldelse af en kontrakt. For enhver organisation er retten til at overføre personoplysninger en ret, der kræver planlægning og forberedelse, så dine medarbejdere kan have alle de nødvendige ressourcer til rådighed til at håndtere sådanne anmodninger.
- Uddannelse, uddannelse, uddannelse, uddannelse eller en reprimande
Under det nuværende databeskyttelsesdirektiv er der store forskelle mellem medlemsstaterne med hensyn til økonomiske sanktioner. I modsætning hertil vil håndhævelsesbeføjelserne under den nye GDPR-lovgivning blive væsentligt forøget i henhold til GDPR, herunder de bøder, der kan opkræves, og som topper på 20 mio. euro eller 4 % af den samlede globale omsætning.
I betragtning af de betydelige bøder, der kan blive pålagt, bør organisationer investere tid og ressourcer i at overholde GDPR. Dette omfatter uddannelse af alle de forskellige interessenter, fra ledere til tredjepartsforarbejdningsvirksomheder, der har indflydelse på din evne til at opnå og opretholde GDPR-overholdelse.
- Tag GDPR op med det samme og skynd dig at handle
For at citere Leonardo da Vinci: "Jeg er blevet imponeret over det presserende i at gøre. Det er ikke nok at vide. Vi må anvende det". Det er den type tankeledelse, som organisationer skal have, hvis de skal kunne håndtere GDPR.
En kultur for overholdelse er afgørende for din organisations succes, når det gælder GDPR, og der skal være personaleuddannelse og klare politikker på plads. Dette vil også imødekomme behovet for GDPR's bestemmelser om ansvarlighed. Processer for håndtering af hændelser vedrørende beskyttelse af privatlivets fred skal være klare og præcise, og relaterede interne politikker bør revideres for at sikre, at databrud behandles straks og gennem den korrekte proces.
Er du interesseret i at planlægge din tilgang til GDPR-overholdelse så tidligt som muligt og få opbakning fra de vigtigste interessenter i din organisation?
Hvis du har brug for hjælp til dit GDPR-projekt, har vi i samarbejde med eksperter på området udarbejdet GDPR for Dummies i samarbejde med Wiley, det officielle Dummies-mærke. Du kan få dit gratis eksemplar her.
MetaCompliance har designet og skabt eLearning-kurser, der kan hjælpe din organisation med at øge bevidstheden blandt medarbejderne og samtidig engagere den øverste ledelse for at sikre deres accept. Kontakt MetaCompliance og få at vide, hvordan deres Cyber Security & eLearning Library and Awareness Services kan hjælpe dig med at skabe GDPR-overholdelse i din organisation ud fra et informationsprivatlivs- og informationssikkerhedssynspunkt.