Velg riktig vurderingsverktøy for å finne ut hvor GDPR-kompatibel organisasjonen din er.

Hva er et vurderingsverktøy?

I sin enkleste form er et vurderingsverktøy en sjekkliste som viser hvor mye du kan "krysse av" - og hva som gjenstår. Verktøyet hjelper deg ved å stille de riktige spørsmålene og bør til slutt føre til en slags handlingsplan som veileder deg på veien mot GDPR-samsvar.

Det finnes en rekke vurderingsverktøy på markedet, og den kvalitative forskjellen mellom dem avhenger hovedsakelig av hvor omfattende og detaljerte de er. Risikoen med vurderingsverktøy som ikke evaluerer aktiviteten som helhet på en detaljert måte, er selvsagt at noen deler blir oversett.

Vurderingsverktøy lages ofte for spesifikke systemer, apper og programmer eller for ulike enheter eller funksjoner i en organisasjon. Du kan for eksempel koble et IT-system til verktøyet, som deretter evaluerer hvor kompatibelt systemet er. Det er viktig å ikke bare vurdere IT-plattformen og de tekniske funksjonene, men også sørge for at rutiner og prosesser evalueres,

Grunnregelen er at du ikke bare kan tenke på teknologi - GDPR-samsvar må gjennomsyre hele organisasjonen, ikke bare IT-plattformen.

Evalueringsverktøy: skaper forutsetninger for å evaluere organisasjonen

Mange ganger kan evalueringen være vanskelig å tolke - bare det å forstå spørsmålene som ligger til grunn for evalueringen, kan være vanskelig. Dette kan skyldes generell uvitenhet om kravene i personvernforordningen eller vage og altfor ambisiøse formuleringer i spørsmålene.

For at du skal kunne bruke vurderingsverktøyet riktig, må du i det minste ha grunnleggende kunnskap om personvernforordningen, og selvfølgelig kunnskap om organisasjonen du vurderer med verktøyet.

Hvis du jobber i en stor organisasjon med mange avdelinger, er det viktig å jobbe tverrfaglig og sørge for at alle parter som håndterer personopplysninger, er representert i evalueringsprosessen.

Evaluering alene er ikke nok

Å få et klart bilde av hva som må gjøres, er selvsagt et stort og viktig skritt i riktig retning, men det er viktig å huske på at bare fordi du vet hvordan situasjonen er, har du fortsatt ikke løst noen av problemene. Alle de tingene du faktisk trenger å gjøre for å bli compliant, gjenstår.

Som lekmann er det svært vanskelig å evaluere et evalueringsverktøy og sammenligne det med andre alternativer - hvilket verktøy skal man velge og hvorfor? I tillegg til problemene som oppstår hvis verktøyet er for systemspesifikt eller for generelt, gir innholdet i evalueringen bare et tydeligere bilde av manglene. Det gir deg ingen konkret hjelp til hva du skal gjøre for å løse dem. Sørg derfor for å velge et verktøy som også gir oppfølgingsforslag til hvordan manglene kan utbedres.

Husk dette når du velger og bruker vurderingsverktøyet:

• Hvor mye av vurderingen vil du gjøre selv? Hvorvidt du kan gjøre alt selv eller få hjelp utenfra, avhenger ofte av hvor kompleks organisasjonen din er.
• Sørg for at personen som gjennomfører evalueringen, har grunnleggende kunnskap om både organisasjonen og kravene i personvernforordningen.
• Engasjer hele organisasjonen og arbeid på tvers av funksjoner.
• GDPR handler ikke bare om teknologi og IT - det gjennomsyrer hele virksomheten. Sørg for at vurderingsverktøyet ditt ikke bare dekker bestemte deler av virksomheten eller systemene og applikasjonene dine.
• Velg et vurderingsverktøy som gir konkrete forslag til hva du kan gjøre for å rette opp manglene.