Valitse oikea arviointityökalu selvittääksesi, kuinka GDPR-yhteensopiva organisaatiosi on.

Mikä on arviointiväline?

Yksinkertaisimmillaan arviointityökalu on tarkistuslista, joka osoittaa, mitä kaikkea voit "rastittaa" ja mitä muuta sinun on tehtävä. Se auttaa sinua kysymällä oikeita kysymyksiä, ja sen pitäisi lopulta johtaa jonkinlaiseen toimintasuunnitelmaan, joka ohjaa sinua matkallasi GDPR:n noudattamiseen.

Markkinoilla on useita arviointivälineitä, ja niiden laadullinen ero riippuu pääasiassa siitä, kuinka kattavia ja yksityiskohtaisia ne ovat. Niiden arviointivälineiden, joissa ei arvioida toimintaa kokonaisuutena yksityiskohtaisesti, riskinä on tietenkin se, että jokin osa jää huomiotta.

Arviointityökaluja luodaan usein tiettyjä järjestelmiä, sovelluksia ja ohjelmia tai organisaation eri yksiköitä tai toimintoja varten. Voit esimerkiksi liittää IT-järjestelmän työkaluun, joka sitten arvioi, kuinka vaatimustenmukainen järjestelmä on. IT-alustan ja teknisten toimintojen arvioinnin lisäksi on tärkeää varmistaa, että myös menettelyt ja prosessit arvioidaan,

Perussääntö on, että et voi ajatella vain teknologiaa - GDPR-vaatimustenmukaisuuden on läpäistävä koko organisaatiosi, ei vain tietotekniikkajärjestelmäsi.

Arviointiväline: luo edellytykset organisaation arvioinnille.

Monesti arviointia voi olla vaikea tulkita - jo pelkästään niiden kysymysten ymmärtäminen, joihin arviointi perustuu, voi olla vaikeaa. Tämä voi johtua yleisestä tietämättömyydestä tietosuoja-asetuksen vaatimuksista tai kysymysten epämääräisistä ja liian kunnianhimoisista muotoiluista.

Jotta voit käyttää arviointityökalua oikein, sinulla on oltava ainakin perustiedot tietosuoja-asetuksesta ja tietenkin tietoa organisaatiosta, jota arvioit työkalun avulla.

Jos työskentelet suuressa organisaatiossa, jossa on useita osastoja, on tärkeää työskennellä monialaisesti ja varmistaa, että kaikki henkilötietoja käsittelevät osapuolet ovat edustettuina arviointiprosessissa.

Pelkkä arviointi ei riitä

Selkeän kuvan saaminen siitä, mitä on tehtävä, on tietenkin suuri ja tärkeä askel oikeaan suuntaan, mutta on tärkeää muistaa, että vaikka tiedätkin, mikä tilanne on, et ole vielä ratkaissut mitään ongelmia. Kaikki ne asiat, jotka sinun on tosiasiassa tehtävä, jotta saat vaatimustenmukaisuuden, ovat edelleen olemassa.

Maallikkona on hyvin vaikeaa arvioida arviointivälinettä ja verrata sitä muihin vaihtoehtoihin - minkä välineen valita ja miksi? Niiden ongelmien lisäksi, joita syntyy, jos työkalu on liian järjestelmäkohtainen tai liian yleinen, arvioinnin sisältö antaa vain selkeämmän kuvan olemassa olevista puutteista. Se ei anna konkreettista apua siihen, mitä niiden korjaamiseksi pitäisi tehdä. Varmista siksi, että valitset työkalun, joka tarjoaa myös jatkoehdotuksia siitä, miten puutteet voidaan korjata.

Pidä tämä mielessäsi, kun valitset ja käytät arviointivälinettäsi:

• Kuinka suuren osan arvioinnista haluat tehdä itse? Se, pystytkö tekemään kaiken itse vai hankitko ulkopuolista apua, riippuu usein organisaatiosi monimutkaisuudesta.
• Varmista, että arvioinnin suorittajalla on perustiedot sekä organisaatiosta että tietosuoja-asetuksen vaatimuksista.
• Ota koko organisaatio mukaan ja toimi poikkitoiminnallisesti.
• GDPR ei koske vain teknologiaa ja tietotekniikkaa, vaan se läpäisee koko yrityksesi. Varmista, että arviointityökalusi ei kata vain tiettyjä liiketoiminnan osia tai järjestelmiä ja sovelluksia.
• Valitse arviointiväline, joka antaa konkreettisia ehdotuksia siitä, mitä puutteiden korjaamiseksi on tehtävä.