Artikler

GDPR det nye Y2K-sluket?

GDPR det nye Y2K-sluket?

Det er gryende oppmerksomhet på GDPR (General Data Protection Regulation). Signaler om potensielt skyhøye bøter driver dette fokuset, som garantert øker utover høsten og våren når tidsfristen i mai 2018 nærmer seg. Men la oss ikke glemme elefanten i rommet - den ustrukturerte informasjonshåndteringen.

GDPR den nye gullkalven?

Kommersielle aktører innen rådgivning og ulike løsningsområder driver diskusjonen om håndtering av GDPR. Det danses rundt gullkalven som de håper er den største siden Y2K-utfordringen (Innlegget ble først publisert på bloggen IntelliWorker).

Vi kommer til å høre mye fremover om hva som er personopplysninger og sensitive personopplysninger. Vi kommer til å bli eksponert for en rekke personvernerklæringer, aksepter knyttet til innsamling og samtykker for bruk. Mange av disse sikkert i form av enkle trykk med masse tekst bak, slik som alle vilkår fra Apple, Google, Microsoft og andre som ingen leser og alle aksepterer i dag. Vi kommer til å høre om personvernombud og andre roller og ansvarsområder, om prosesser for avvikshåndteringer, om skiller mellom dataeiere og databehandlere. Vi kommer til å høre fra stadig flere ASP-, drifts- og skyleverandører som skilter med ISO27000-sertifisering. Og det er påstander om at vi gjør alt dette for en relativt liten endring, for i Norge har vi eksisterende personvernregler og vi har et oppegående datatilsyn.

Organisasjoner som tar GDPR på alvor får helt sikkert på plass gode rutiner rundt alle de strukturerte prosessene og systemene slik som CRM, ERP og HR.

Elefanten i rommet: Dokumenthåndtering

Men elefanten i rommet er fortsatt tilstede. For selv når alt det ovenstående er på plass er det et stort hull hvor personopplysninger vanligvis kan flyte fritt uten å bli behandlet på en forsvarlig måte. Det er i den ustrukturerte sfæren. Dokumenter som blir scannet, inngående og utgående brev og e-post, og ikke minst i en rekke dokumenter som blir lagret på filservere, Box, Dropbox, OneDrive og tilsvarende.

Jeg har på en kommunes filserver selv funnet en bekymringsmelding skrevet av en lærer og sendt til barnevernet. Dokumentet lå helt åpent for alle. Læreren som sendte den hadde ingen forutsetning og kunnskap om kommunens interne IT-sikkerhet. Og slike brukerscenarier kan vi helt sikkert finne mange av i enhver organisasjon.

Så et råd til alle som har fokus på personvern og GDPR: Glem ikke at majoriteten av informasjonen i din organisasjon er ustrukturert og finnes utenfor de tradisjonelle hovedsystemene, og i stor grad også utenfor de viktigste hovedprosessene. Det vil ikke overraske oss om det er her grunnlaget for de ubehagelige avisomtalene og de største bøtene finnes!