GDPR-dagen den 25. maj nærmer sig med hastige skridt. For de fleste af os er samtaler i gang, men er der lagt handlingsplaner på plads? Bliver personalet uddannet? Er der en databeskyttelsesledning på plads?
Processerne virker besværlige, men det er der god grund til. Den nye forordning er en opdatering af loven fra 1998, der blev skabt ud fra EU's databeskyttelsesdirektiv i 1995. Så hvorfor ændre den nu?
Verden var et andet sted for 20 år siden. Amazon blev lanceret i juli 1995, og i september samme år blev eBay lanceret. Første gang du kunne sende en tekstbesked med forudsigelig tekst var i 1993. Og de fleste computere havde 8 MB ram – med yderligere 4 MB ram, der kostede 400 $. Siden 1995 har vi set lanceringen af Facebook (februar 2004) og Twitter (marts 2006) blandt mange andre platforme, vi med glæde har udleveret personlige data til.
Interaktion med vores personlige data, hvor de blev hostet, og vores købsvaner var på nippet til gigantiske forstyrrelser. Vi tænkte ikke over, hvor vores data var, hvem der brugte dem, eller om de blev købt og solgt som en vare.
Hvis man sammenligner vores verden med nu, er det let at se, hvorfor de tidligere love er forældede, og grunden til, at GDPR træder i kraft – for at erstatte og styrke databeskyttelsesloven.
Der er flere krav til GDPR , men disse kan grupperes i tre hovedområder:
Træn personalet til at sikre, at de forstår reglerne og gør praksis compliant – det er alle, der beskæftiger sig med persondata, ansvar. For at sige det på en anden måde, hvis en klient ringer og spørger, hvor deres personlige data opbevares, ville alle vide det?
Tildel et databeskyttelsesled for at sikre, at nogen har GDPR i hovedet og har bemyndigelse til at foretage ændringer og rådgive ledere til at implementere ændringer, samt sørge for løbende træning. Alle i en praksis skal også forstå, hvordan man reagerer, hvis der opstår et ’databrud’.
Revision af eksisterende processer bestemmer, hvordan data bruges, håndteres og deles inden for praksis og kunder.
Sørg for, at adgangskoder og dokumenter er sikkert opbevaret (inklusive dem på bærbare computere og smartenheder), og at klientforlovelsesbreve er blevet opdateret.
Regnskabspraksis bør også se på politikker for korrekt at identificere opkaldere og sikre, at der er en proces for at forhindre ukorrekt deling af oplysninger med de forkerte kunder.
At lave en handlingsplan med deadlines er et must. Dette bør omfatte oprettelse af databehandlingsregistre, en databeskyttelsespolitik, en sikkerhedsrevision og indhentning af fornyet samtykke, hvor det er nødvendigt.
Du skal dokumentere, hvilke personoplysninger du har, hvor de kommer fra, hvem du deler dem med, og hvad du gør med dem. Når revisionen er afsluttet, hjælper den med at løse eventuelle mangler for at sikre overholdelse af GDPR.
Når først politikker er defineret, skal de dokumenteres, deles med personalet og blive den nye 'business as usual'. Det er god praksis at holde dine kunder opmærksomme på de fremskridt, du har gjort.
Der er et væld af ressourcer til rådighed for at hjælpe med overholdelse. Informationskommissærens kontor (ICO ) giver god generel forretningsrådgivning inklusive skabeloner til at dokumentere, hvor alle personlige data opbevares. For specifikke oplysninger om regnskabspraksis er der masser af specifikke vejledninger og ressourcer med IRIS GDPR hub.
Endelig, mens der er mange praksisser (og virksomheder), der bekymrer sig om, at GDPR er besværlig, er det værd at sammenligne med fødevarehygiejnestandarder. Alle fødevarevirksomheder, uanset deres størrelse, skal overholde hygiejnestandarder.
Ingen ville spise på en café og lege hurtigt og løst med hygiejne, og det samme kunne siges om praksis, der ikke beskytter deres kunders data.
Den nye databeskyttelsesforordning er nu lige rundt om hjørnet, og det er ikke en mulighed at beslutte, hvornår der skal handles. Det er en prioritet at beslutte, hvad der skal handles i denne uge. Vi vil ikke have, at nogen bliver madforgiftet, vel?