Prosessen med å identifisere personopplysninger - slik får du hjelp!

Hva er "identifisere"?

Identifisering handler om mer enn bare å identifisere hvilke personopplysninger en bedrift håndterer. Det er et omfattende arbeid der du sikrer at det finnes registre for personopplysningene, rutiner for håndtering av dataene og kartlegging av systemene som lagrer og håndterer dem. Å evaluere disse rutinene og prosessene og sikre at de er i samsvar med den nye personvernforordningen, er grunnleggende for alt annet GDPR-arbeid.

Så hvorfor er dette arbeidet så viktig? GDPR handler om den enkeltes rettigheter når det gjelder personopplysninger, og hvis du ikke vet hvilke opplysninger du behandler, hvorfor du behandler dem og hvor de er lagret, er det umulig å oppfylle disse rettighetene. Hvis du for eksempel ikke vet nøyaktig hvor opplysningene er lagret, vil du ikke kunne håndtere en forespørsel om et registerutdrag eller slette opplysninger om en bestemt person. Du kan heller ikke beskytte data uten å vite hvor de er lagret - det vil rett og slett være umulig å identifisere risikofaktorer uten en klar oversikt over og registrering av alle personopplysninger.

Hvilke verktøy tilbyr GDPR Hub for å identifisere personopplysninger?

Et av verktøyene i GDPR Hub som kan hjelpe deg i kartleggingsarbeidet, er vurderingsverktøyet vårt. Det viser hvor godt organisasjonen din etterlever GDPR i utgangssituasjonen, noe som er nødvendig for å skape en nåsituasjon og et grunnlag å ta utgangspunkt i. Du kan lese mer om hvordan du kan bruke vurderingsverktøyet til å starte kartleggingsarbeidet her.

GDPR Hub er bygget rundt Microsofts Compliance Manager og spiller også en viktig rolle i identifiseringsprosessen. Compliance Manager kan blant annet brukes til å identifisere - basert på dataene fra vurderingen - hvilke tiltak som kreves for å tette hullene i samsvarsarbeidet. Verktøyet inneholder også støttemateriell og dokumentasjon for prosedyrene og prosessene du etablerer.

Du får også pedagogisk støttemateriell med klare instruksjoner og sjekklister for hva som må kartlegges og dokumenteres i prosessen med å identifisere personopplysninger. Det finnes også spørreskjemaer som kan distribueres til organisasjonens respektive avdelinger, der de ansatte kan svare på hvordan og når de håndterer personopplysninger.

Viktige hensyn ved identifisering av personopplysninger

Grunnen til at det er så viktig å involvere alle deler av organisasjonen i identifiseringsprosessen, er at mye av behandlingen av personopplysninger kan foregå utenfor systemene, i dokumenter som lagres lokalt eller skrives ut og samles i mapper og permer.

Det må også føres en oversikt over hvordan personopplysningene håndteres i alle faser av behandlingen. Dette omfatter for eksempel informasjon om hvordan opplysningene ble samlet inn og hvilket formål de tjener for organisasjonen, det rettslige grunnlaget for behandlingen, hvor de lagres og hvor lenge. Tanken er at du ved hjelp av denne informasjonen skal kunne bevise hvorfor du har lov til å behandle personopplysninger - i alle ledd.

Registrene i GDPR Hub kategoriserer personopplysninger. Du kan blant annet kategorisere ut fra hvilken type person det dreier seg om (leads, kunder, ansatte osv.), hvordan innsamlingen har funnet sted (direkte innsamling eller via tredjepart) og ut fra hvilken type personopplysninger det dreier seg om (e-postadresse, navn, telefonnummer, arbeidsnummer osv.). Typen personopplysninger som behandles, er også grunnlaget for hvor lenge de kan lagres. Registeret viser også hvor hver enkelt opplysning er lagret og hvilke systemer som bruker den.

Hvorfor WeSafes GDPR-hub?

Det finnes faktisk andre aktører på markedet som tilbyr lignende maler eller egne systemer for å støtte identifiseringsarbeidet. Ulempen med disse er at de vanligvis er frittstående systemer som ikke er koblet til organisasjonens øvrige digitale infrastruktur. Et ytterligere element i håndteringen av personopplysninger krever i tillegg samtykke fra den enkelte samt rutiner, prosesser og dokumentasjon. Derfor er en av de store fordelene med GDPR Hub, for de som bruker Office 365, at alt er samlet og kan administreres på ett sted.

Føler du deg usikker, vil du vite mer eller trenger du hjelp i identifiseringsarbeidet? Kontakt oss i WeSafe!