Hva med GDPR i 2019?

KUNSTIG HØY: Lederes tillit til at it, og til en viss grad markedsavdeling, har oversikt over hvordan en innsynsbegjæring skal håndteres raskt og riktig er kunstig høy, skriver Lasse Ruud.

Hva med GDPR i 2019?

KOMMENTAR: GDPR-året 2018 er ferdig, men vet ledere egentlig hvordan de skal håndtere forordningen i 2019, spør Lasse Ruud i Intellisearch.

2018 forløp for mange som et rent GDPR-helvete og mange tror kanskje at GDPR nå er et tilbakelagt kapittel. Forbrukere ble tilsendt hundrevis av eposter fra virksomheter de ikke engang visste de hadde dialog med, og i virksomhetene ble det satt i gang prosjektgrupper klare for å håndtere enhver utfordring fra det norske folkedypet - selv om fakkeltogene uteble. Om 2018 var GDPR-startskuddet så møter vi GDPR-hverdagen i 2019. Spørsmålet er om virksomhetene er klare for dette steget.

Som en del av GDPR-lovverket er det spesielt viktig å ha oversikt over alle kilder ved håndtering av en innsynsbegjæring fra kunder eller interessenter. På den måten kan en virksomhet garantere at all innsikt er funnet og at begjæringen er fulgt opp på riktig måte. Her er det trolig gjort en stor opprydding i norske og utenlandske virksomheter og sånn sett har 2018 vært året vi alle måtte gjøre en digital vårrengjøring. Likevel er det garantert virksomheter som har slurvet, og dyttet noe av støvet under teppet.

Innen et døgn

I en nylig gjennomført undersøkelse fra Norstat, som er gjennomført på oppdrag fra IntelliSearch, sier tre av fire norske virksomhetsledere at deres virksomhet er i stand til å finne frem til all potensiell GDPR-data i løpet av ett døgn om det kommer en innsynsbegjæring.

Det betyr at 1 av 4 mener at de ikke er i stand til, eller ikke vet om de er i stand til, å håndtere en begjæring raskt.

Mangelfull oversikt over hvor relevant informasjon eller data finnes er nøkkelen. Dette er et høyt tall, først og fremst fordi det har vært enormt fokus på GDPR i 2018 og trolig vil det aldri bli like mye fokus på forordningen som det har vært det siste året. Og om 1 av 4 norske virksomheter ikke vet hvordan de skal håndtere GDPR etter at epost-bonanzaen har lagt seg, så har mange sovet i timen.

Stoler blindt på it-avdelingen

Likevel mener jeg at tallet trolig er enda høyere. Lederes tillit til at it, og til en viss grad markedsavdeling, har oversikt over hvordan en innsynsbegjæring skal håndteres raskt og riktig er kunstig høy. Gjennom daglig dialog med norske it-sjefer er nemlig inntrykket mitt at det fortsatt er mangelfull oversikt over all data i norske virksomheter. At mange ledere likevel er sikre på at virksomheten kan håndtere innsynsbegjæringer slik de skal håndteres kan derfor skyldes mangelfull innsikt.

Dette bekreftes av at ledere for større virksomheter i større grad mener at de kan håndtere begjæringer på dagen. Større virksomheter og bedre struktur gjør at ledere kan legge seg mer bakpå. Mindre virksomheter gjør at ledere må være mer "on top of things", og de ser da også at de kanskje ikke er helt compliant.

Så kan man stille seg spørsmålet; er det et lederansvar å ha denne innsikten? Det er utøveren som har ansvaret, som det heter i Johaug-saken. Om det smeller er det lederen som må håndtere situasjonen og boten som eventuelt kommer, selv om det er mulig det er it-sjefen som får kjørt seg på kammerset.

Så la dette bli ditt nyttårsforsett som leder: Be om en oversikt over hva som gjøres internt om det kommer en innsynsbegjæring i 2019.

Så blir GDPR-fakkeltogene litt enklere å håndtere.

Lasse Ruud, administrerende direktør i Intellisearch

Les om:

Debatt