Det er nå snart bare 100 dager igjen til 25. mai 2018 når personvernforordningen (GDPR) trer i kraft. Det gjennomføres mange prosjekter i selskaper og organisasjoner nå (i DLA Piper bistår vi i nær 70 prosjekter i Norge med nye prosjekter som kommer til hver dag, og noen tusen prosjekter ellers i Europa) for å gjøre virksomheter klare for GDPR. Allikevel sitter mange selskaper sitter på gjerdet (og det gjerdet begynner å bli rimelig fullt nå…). Her er noen erfaringer fra vår bistand i GDPR-prosjekter som vi håper kan være til nytte for andre.
Omfanget av GDPR-prosjektene er kostnadsmessig ikke større enn mindre it-prosjekter, og dersom det benyttes rådgivere (advokater) som har erfaring med tilsvarende prosjekter, bør det ikke påløpe mer enn 100-150 timer bistand fra advokatene for en mellomstor virksomhet (avhengig av hvor mye arbeid virksomheten selv gjør). Det vil normalt ikke påløpe vesentlig mer timer for større virksomheter, siden antallet problemstillinger vil ikke normalt være likt for mellomstore og store virksomheter (det vil bare ta mer tid å implementere i større virksomheter, se nedenfor).
Avgjørende med velprøvd og god metodikk. Det må benyttes en metodikk som er velprøvd og god, som passer for GDPR-prosjekter, for at prosjektene ikke skal skli ut i tid og kostnader. Man bør undersøke om rådgivere som benyttes har en metodikk som passer for GDPR-prosjekter (og tilsvarende compliance-prosjekter), og at rådgiverne har erfaring med å bruke metodikken på tilsvarende prosjekter. Se her om metodikk ved GDPR-prosjekter.
Mange problemstillinger går igjen. Rundt 80-90 % av problemstillingene vil være de samme i alle selskaper og organisasjoner, så det er stor grad mulig å overføre kunnskap og erfaringer mellom prosjektene. Det bør derfor benyttes rådgivere som har arbeidet på mange tilsvarende prosjekter og som har erfaring, og som har laget maler og standarddokumenter i andre prosjekter tidligere, se nedenfor.
Maler, verktøy og eksempler. For at prosjektene skal kunne gjennomføres effektivt og med riktig kostnad, må det foreligge maler, verktøy og eksempler før prosjektet starter. Som nevnt ovenfor så går stort sett de samme problemstillingene igjen i selskaper og organisasjoner, så det må foreligge maler, eksempler mv. som kan benytte i prosjektet. Det skal for det meste av arbeidet ikke være nødvendig å utarbeide dokumenter, sjekklister, maler, policies, rutiner, prosedyrer mv. fra grunnen av i GDPR-prosjekter. Dette er heller ikke noe som selskapene og organisasjonene skal betale ekstra for (foruten eventuell tilpasning), siden dette skal rådgiverne (advokatene) ha på plass før prosjektet starter.
Må også utnytte mulighetene i GDPR. GDPR gir også mange muligheter, og ved å ha mulighetene for øye ved gjennomføringen av prosjektene kan også GDPR medføre besparelser og reduserte kostnader. I prosjektene vi har bistått har det blitt reduserte kostnader ved sanering av it-løsninger har vist seg mulig, lagringsmåter har blitt optimalisert, sikkerhetskopiering har blitt vurdering på andre måter, arkiver (både fysiske og elektroniske er blitt fjernet og data slettet), arbeidsmåter og prosedyrer er blitt forbedret og dermed frigjort kapasitet osv. Det har vist seg at mange har basert seg på samtykke, uten at det har vært nødvendig, noe som har redusert risikoen for behandlingen og redusert arbeidet forbundet med behandlingen (se mer om bruk av samtykke her). Vi har også sett at gjennomgang av kundelister og økt kvalitet på data i bl.a. CRM-system har ført til økt omsetning for virksomhetene (siden de må kontakte eksisterende og potensielle kunder, som kan gi ny- og mersalg).
Rapport er unødvendig. Ved compliance-prosjekter kan det skrives en rapport etter kartleggingsfasen for å vise hva som er avvikene. Dette er etter vår erfaring unødvendig tid- og ressurskrevende, og det bør helles benyttes en mer lean tilnærming ved at man enten utbedrer avvik fortløpende (enkelte avvik gjelder for alle virksomheter, så dette utbedres så snart prosjektet starter), eller at man lager en avviksliste (oppgaveliste)/status som det arbeides med fortløpende og i parallell med andre aktiviteter. Til slutt i prosjektet kan det gis en rapport som bekrefter at alt er utbedret, men dette bør ikke være omfattende og kan ha karakter av en sjekkliste.
Manglende dokumentasjon. De fleste selskaper har mangler på rutine og dokumentasjon, hvilket er naturlig siden GDPR stiller krav til noe annen dokumentasjon som gjaldt tidligere. Dette er dokumentasjon som skal bekrefte at rutiner og prosedyrer er implementert (se mer om dokumentasjonskravene her), så det forutsettes at rutiner og prosedyrer er implementert for at dokumentasjonen skal være på plass. Slik dokumentasjon må implementeres, og det er som nevnt ovenfor en fordel å benytte rådgivere som har slik dokumentasjon som kan tilpasses.
Implementering tar tid. Implementeringen av prosedyrer og rutiner i organisasjonen tar tid, og dette er ikke oppgaver som kan sette ut til rådgivere. Husk at dokumentasjonen er kun bekreftelse på at implementering har skjedd, så for å ha tilstrekkelig dokumentasjon på plass, så forutsettes det at rutinene og prosedyrene for å behandle personopplysninger i overensstemmelse med lovverket (GDPR) er på plass i organisasjonen og er en del av den daglige virksomheten.
Sett av nok ressurser. Det er helt avgjørende at virksomheten setter av tilstrekkelig ressurser til prosjektet. Det er ikke mulig å sette ut slike prosjekter til rådgivere, og virksomheten selv må stille tilstrekkelige ressurser til at prosjektet kan gjennomføres. Spesielt for kartlegging og implementering er det virksomheten selv som må stille med det vesentlige av ressurser og gjøre det meste av arbeidet. Rådgiverne er avgjørende for å stille riktig verktøy og rådgivning til rådighet i disse fasene for at kartleggingen og implementeringen skal gå effektivt, men gjennomføringen må virksomheten selv gjøre.
Ikke tro at programvare eller IT-systemer kan gjøre en klar for GDPR. Programvare og IT-systemer kan gjøre det enklere å oppfylle enkelte krav i GDPR, men vil aldri være tilstrekkelig til at man blir GDPR-compliant. Det må gjennomføres et GDPR-prosjekt hvor det er behandlingen som skjer i virksomheten (ikke systemene) som er det avgjørende.
Databehandlere er ikke klare. Mange databehandlere er ikke klare for GDPR, og de har ikke verken dokumentasjon eller databehandleravtaler klare. Dette gjelder også for større globale selskaper, og dette kan skape problemer for behandlingsansvarlige som vil bli klar for GDPR. Da er det viktig at virksomheten selv har databehandleravtaler klare til å få inngått med databehandlerne (og nei, Datatilsynet har ikke laget en slik mal, men rådgivere med erfaring vil normalt ha slike maler klare).
Stopp i tide. Man trenger ikke bli mer enn GDPR-compliant, så det er viktig at prosjektet scopes til det som er målet: Å komme i overensstemmelse med GDPR. Så prosjektet må vite når det er klar, og når det skal stoppes. Hvor omfattende prosjektet skal være er avhengig av hvilken risikoprofil som virksomheten har valgt for GDPR. Det kan være andre fordeler med å fortsette prosjektet for å oppnå andre fordeler, men det bør være egne prosjekter adskilt fra GDPR. Se her om når man er GDPR-compliant.
Vår erfaring er at GDPR-prosjekter kan gjennomføres på forholdsvis kort tid, normalt mellom 1-3 måneder, hvor virksomheten må sette av tilstrekkelig ressurser for å kunne gjennomføre prosjektet, og at rådgiverne må stille de nødvendige ressurser til rådgivning, nødvendige verktøy og hjelpemidler for at prosjektet skal kunne gjennomføres på en god måte.
* * * *
Vi erfarer også at GDPR-prosjektene tilfører mye positivt til virksomhetene i form at bedre kontroll på behandling av personopplysninger (og andre rutiner), mindre kostnader og bedre ressursbruk i mange tilfelle, mindre risiko knyttet til databrudd og andre brudd på personvernreglene (som igjen reduserer risikoen for bøter og omdømmetap).
Et GDPR-prosjekt er noe man må gjennomføre, men gjort på riktig måte, så er det ikke et omfattende prosjekt tids-, ressurs- eller kostnadsmessig, For å bli ferdig med prosjektet til 25. mai 2018, så bør det også startes så snart som mulig.