Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Datoen i dag, 25. maj 2018, har sikkert givet både sommerfugle i maven, sved på overlæben og måske endda ligefrem været årsag til irritation over nye regler, der skal implementeres i organisationen.
Jeg vælger dog at se de nye EU-regler som et trin op ad evolutionens digitale stige, hvor data og personlige oplysninger tages mere seriøst.
Opbevaring af personlige og følsomme informationer er nemlig en alvorlig opgave, og GDPR er sat i verden for at beskytte den enkelte borger mod datamisbrug.
Det er der ganske meget brug for.
En kommerciel vare
Data er blevet en kommerciel vare, hvor der er behov for regulering, hvis vi vil have nogenlunde kontrol over tingene.
Dermed ikke sagt, at det ikke er en udfordring, at komme i mål med projektet. Der er nemlig meget, som skal tænkes igennem.
Det skal nok gå alt sammen
Selv om du ikke lige er blevet færdig på datoen, så er der ingen grund til panik, for verden står selvfølgelig endnu.
Datatilsynet kommer ikke efter dig med bål og brand, men tilsynet vil holde et vågent øje med udviklingen, og det er vigtigt, at du arbejder med persondataforordningen. At du viser interesse og initiativ.
Hvis du ikke allerede er i gang, så er det nu, du skal starte en god proces, skubbe gang i din fortegnelse og se på dine privatlivspolitikker.
Hvis du ikke gør det, eller ligefrem handler i ond tro, så kan der vanke bøder i horisonten.
Helt konkret skal du forberede dig på en række ting. Her har jeg udvalgt fem områder, som er velegnede til at starte med.
72 timer, der er vigtige
Dokumentation er et af hovedområderne i Persondataforordningen, for du skal både have styr på dine data og dokumentation for, at det nu også er tilfældet.
Ligeledes skal du forberede dig på, at dine registrerede brugere kan henvende sig til dig for at bede om indsigt i egne oplysninger eller ligefrem ønske at blive slettet helt.
Alle registrerede personer har nemlig retten til at få slettet deres data.
Forordningen pålægger dig også et ansvar for at anmelde alle brud på personsikkerheden inden for en tidsramme på 72 timer, efter du har opdaget bruddet.
Husk, at du også har pligt til at underrette alle de implicerede, hvis sikkerhedsbruddet indebærer en høj risiko for de registrerede. Det understreger igen nødvendigheden af en solid datastruktur.
Alle sikkerhedsbrud skal desuden dokumenteres i en log.
Og så skal du huske, at data kan gemme sig ’uventede’ steder som i din backup eller i mails, der sagtens kan være interne beskeder.
Disse tilfælde skal der også være procedurer for.
Flere steder, som i uddannelses- og forskningsverdenen hvor jeg slår mine folder, kan der også være brug for en data protection officer (DPO) til at holde styr på, at tingene går sin rette gang.
For nogen er der et krav om en DPO, mens andre kan ønske at udpege en databeskyttelsesrådgiver fordi, det sender et signal om troværdighed og tillid.
Jeg tillader mig lige at indskyde et sjette punkt, fordi jeg synes, at du skal læse Datatilsynets vejledning, som du finder her.
Her kan du nemlig få en fornemmelse af, hvordan Persondataforordningen fortolkes.
Så lad os, på trods af arbejdsopgaverne, glædes over, at der er kommet betydelig mere fokus på den enkelte borgers datasikkerhed. Det er til gavn for alle.
God GDPR.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.