Å bli I samsvar med den nye personvernforordningen (GDPR) kan fort bli dyrt, om man starter på «scratch». Og dette kan fort være en av hovedgrunnene til at så mange virksomheter i landet ikke er i samsvar med den nye personopplysningsloven enda.
Kraften av undersøkelser
I en undersøkelse utført av PwC der de undersøker en god del bedrifter som har kommet i havn med sine GDPR-prosjekter viser det seg at 88 prosent av dem hadde betalt mer enn 1 million dollar (mer enn 8 millioner kroner) på sitt prosjekt, mens 40 prosent av totalen hadde betalt mer enn 10 millioner dollar (mer enn 80 millioner kroner).
Selv om dette kan virke avskrekkende vet vi at skaleringen av et slikt prosjekt varierer veldig, samt at det uansett er noe som en bedrift må påkoste seg, og det er IT-sikkerhet og personvern. I følge Dark Reading har faktisk bruken av kapital og kapasitet totalt sett økt hos de aller fleste bedrifter, og dette er bare starten.
Holdningene rundt dette varierer jo selvfølgelig fra person til person, men i bunn og grunn er alle bedrifter som behandler personlig data på partnere, ansatte og/eller kunder nødt til å investere i dette. Uansett om det gjelder GDPR, eller ikke. Når det er sagt er GDPR et kjempegodt utgangspunkt for å få orden og øke sikkerheten i bedriften deres. Derfor må du tenke på ekstra «funding» til dette.
Hva skal du ha i ditt GDPR-budsjett?
Tydeligvis er det viktig å sette opp et budsjett for å gjennomføre sitt GDPR-prosjekt (om ikke du/dere er ferdig), samt inkludere i budsjettet noe som ikke alle tenker på, nemlig vedlikeholdelse av lovverket. Altså, et budsjett for å forbli i samsvar med personopplysningsloven.
Om du skal kategorisere en slik budsjettering kan du godt se for deg at GDPR faller under tre hovedkategorier: Juridisk, IT og cyber-sikkerhet.
Det juridiske
Budsjettering for det juridiske teamet vil inkludere slike ting som endring av tredjeparts avtale (Databehandleravtale) for å ta hensyn til transparens og samtykkekomponenter i GDPR, bedriftens interne politikk for å kunne justere seg til GDPR, og utenforstående rådgivere for bruddrespons.
IT
IT-budsjettering kan fort være posten/seksjonen som vil koste mest, dette på grunn av det er flere selskap som må (dessverre) endre sin applikasjon- og systemportefølje, for å kunne være i samsvar med lovverket. Som for eksempel samtykke.
Cyber-sikkerhet
Budsjetteringen må fokusere på datastyring, datafunn, datasikkerhet og hendelsesrespons. Disse kritiske elementene er enda viktigere under GDPR.
GDPR – Planleggingsgruppen
Den nye personopplysningsloven, GDPR, har krav til visse organisasjoner om å utnevne et personvernombud (DPO). Denne personen vil være ansvarlig for å tolke lovverket og passe på at organisasjonen er i samsvar til enhver tid. Når det er sagt er det ikke et personvernombud sitt ansvar å implementere det nye regelverket i en bedrift.
Det er heller, et dedikert team som skal være førende for gjennomføringen i en organisasjon. Det er også dette teamet som skal budsjettere prosjektet og presentere for ledelsen. Derfor er det viktig med forankring i ledelsen, samt opprette en planleggingsgruppe som består av:
En kontrollerende part. Som sørger for at veikartet blir overholdt og at alle parter gjør sin jobb. Dette kan også kalles en prosjektleder.
Et personvernombud. En ressurs som passer på at regelverket blir overholdt, og at behandlingsansvarlig/organisasjonen behandler personlig data på en korrekt måte.
En utførende part. En part som følger opp og gjennomfører tiltak som er nødvendig, og bistår deler av organisasjonen som trenger hjelp.
Budsjettering bør også inkludere tilbakemeldinger fra en juridisk part (som definerer omfanget av GDPR og sikre kvalitet på databehandleravtaler, samt oppfølging av IT-systemer rundt sikkerheten av kunde- og ansattdata). Fordelen ved dette er selvfølgelig å kunne redusere risikoen for avvik, og eventuelt straff for brudd på lovverket.
Din organisasjon bør vurdere å inkludere markedsføring og HR. Dette på grunn av at disse avdelingene fort kan håndtere organisasjonens mest sensitive data, og med det bør kjenne godt til det nye lovverket.
Kontinuerlig vedlikehold
GDPR har vært i media sitt søkelys det siste året. 20 Juli inntraff lovverket, men det betyr ikke at fra denne datoen kan du slappe av og sette prosjektet inn i en hylle ved siden av HMS-permen. Dette er, som HMS, et lovverk man må forbli i samsvar med.
Ved å gjennomføre og vedlikeholde lovverket internt vil bedrifter i dagens marked kunne forbedre og utnytte bruken av data, samt gi organisasjonen et klart kunde/ansatt/partner-bilde. Ved et slik innsyn legges det til rette for utvikling av virksomheten og verdiskapning.