- Det te er faktisk noe av det vanskeligste jeg har vært bort e i som jurist, sier Roy Johansen, advokat i Frende Forsikring og forfatter av boken «Behandling av kundeopplysninger i forsikring.»
For å få orden på GDPR-arbeidet, må man først kartlegge alle prosesser og systemene man bruker.
- Det er en stor jobb, foretakene har ofte mange ulike systemer knyttet til hverandre. I tillegg er jo selskapene i utvikling, noe som endrer og skaper nye prosesser. Derfor blir man aldri ferdig med dette kartleggingsarbeidet. Man må ha rutiner for å jevnlig gå gjennom de endringene som skjer og håndtere de i relasjon til regelverket, sier Johansen.
Når man har oversikt, må man se hvilke regler som gjelder hvor i prosessene. Stikkord her er behandlingsgrunnlag, et litt tørt og kjedelig ord, men et veldig viktig ord i GDPR-sammenheng.
- Uten behandlingsgru nnlag har du ikke lov ti l å behandle personopplysninger. Du må ha lov til å behandle opplysningene til visse formål, som eksempelvis å ta kontakt med kunden, eller å innhente opplysninger i en skadesak. Hva kan jeg gjøre på grunnlag av dette behandlingsgrunnlaget må du spørre hele tiden, sier advokaten.
Personvernerklæringen er et annet viktig stikkord. Den skal, så uttømmende som mulig, beskrive hvilke opplysninger som behandles, hvordan de lagres, hva de brukes til og hvem som har tilgang til dem.
SKAPE FORSTÅELSE
GDPR- og taushetsplik t arbeid kan oppfattes som noe som tar mye tid og gjør ting unødig tungvint. Derfor er det viktig at ledelsen skaper forståelse blant de ansatte for å gjøre dette arbeidet ordentlig.
- Det er en rivende utvikling på dette området. Regelverket utvikler seg, og arbeidsmåtene utvikler seg. Oppmerksomheten rundt personvernspørsmål har løftet seg mange hakk, og det er svært mange ansatte som jobber med dette i bransjen nå. Jeg opplever