Blogginnlegg -
Mynewsdesks toårige reise mot å bli klar for GDPR
”Så, vi vet at tydelige svar er vanskelig å komme over innenfor vår bransje. Tydelige svar på spørsmål som hvordan vi burde tolke GDPR og hva vi må gjøre for å være klare for det er vanskelig å finne”, Daniel Jonsson, Head of Data Analysis og prosjektleder for GDPR i Mynewsdesk.
Vi intervjuet Daniel som har ledet GDPR-prosjektet hos Mynewsdesk. Han har jobbet på dette prosjektet siden april 2017. Vi ville vite hva han har lært underveis, slik at vi kan få en bedre forståelse for hva dette innebærer.
Hva er GDPR?
GDPR er EUs nye lovverk for personvern og det trer i kraft den 25. mai 2018. Regelverket har mange likhetstrekk med eksisterende personvernlover som mange land allerede har på plass. Det regulerer behandlingen av persondata hos organisasjoner. Dermed vil hovedeffekten av GDPR bli at individer får bedre kontroll, og mer informasjon om sin egen data. GDPR innebærer at organisasjoner og virksomheter må forberede seg, slik at de er i overenstemmelse med det nye lovverket, og individets rettigheter.
Når startet Mynewsdesk arbeidet med å være i overensstemmelse med GDPR?
Vi startet de første forberedelsene for omtrent to år siden, men det startet for alvor her i Mynewsdesk i april 2017.
Hvordan startet prosjektet?
Vi satt ned en GDPR-arbeidsgruppe, som hadde representanter fra alle avdelingene innad i selskapet. Dette gjorde vi for å være sikre på at vi fikk frem alle perspektiver, og at alle utfordringer kunne legges på bordet. Det er også slik at vi har noen fra hver avdeling som fungerer som prosjektleder, slik at disse avdelingene skal være i overensstemmelse med GDPR.
Søkte dere ekstern juridisk bistand?
Ja, vi har samarbeidet med et advokatforma siden prosjektet startet opp, og vi har også intern juridisk støtte til å hjelpe oss med disse problemstillingene.
Hvilke steg måtte dere ta for å bli klar for GDPR?
Det første steget var å få oversikt over all persondata i hele organisasjonen. Dette har vært hovedoppgaven med prosjektet, og det er her vi må være i overensstemmelse med lovverket.
Tok dere noen andre skritt?
Det neste steget var det juridiske, og å definere det juridiske grunnlaget. Her samarbeidet vi som tidligere nevnt med advokater for å finne årsakene til at vi skal kunne behandle data. For å finne juridisk grunnlag for dette, og selvfølgelig å dokumentere det hele. Dette har vært en stor jobb som har påvirket alle avdelingene i organisasjonen, og alle har måttet gjøre sine forberedelser.
Hva går disse forberedelsene ut på?
Det handler i stor grad om definisjoner, dokumentasjon og implementering av rutiner på tvers av alle avdelinger. Kort fortalt handler det om å være sikre på at all behandling av data er i henhold til lovverket, noe vi har dokumentert, og at individets rettigheter blir bevart.
Hva mener du med individ i denne sammenheng?
Det refererer til personer som får sin data behandlet av en virksomhet. GDPR spesifiserer ulike rettigheter individer har, og som virksomheter må respektere. Eksempelvis retten til å bli glemt, som innebærer at hvem som helst kan be om at dataen virksomheten har lagret om dem skal bli fjernet. Det er bare et eksempel på hva du må være forberedt på hvis du skal være i henhold til de nye reglene.
Hva tror du vil være de største utfordringene for PR-bransjen?
PR-bransjen vil i stor grad bli påvirket av GDPR. Det interessante her er at enkelte aspekter ved GDPR viser seg å være vanskelig å løse, i følge undersøkelser som har blitt gjennomført om dette. Noen undersøkelser viser at opp mot 90 % av virksomheter ikke har en automatisert prosess på plass som gjør det mulig å få fjernet sin data. Derfor vil det bli interessant å se hvordan virksomheter vil automatisere sine tjenester for å operere i henhold til regelverket, og mer generelt hvordan de vil løse utfordringer av denne typen.
Noe annet?
En annen ting som blir interessant blir å se hvordan virksomheter vil håndtere samtykke, og om dette blir det juridiske grunnlaget de fleste virksomheter vil basere seg på. For mange vil det bli en stor utfordring å samle samtykke fra alle individene de har data på.
Vil GDPR påvirke markedsføring og reklame mer enn PR-bransjen?
På et generelt grunnlag har PR-bransjen mindre omfattende datahåndering sammenlignet med markedsføringsbransjen. Derfor vil markedsførere måtte avse mye tid og ressurser for å kunne sørge for at de ikke bryter noen av disse lovene. PR-bransjen er nok i en mer komfortabel situasjon enn de andre du nevner her.
Har du noen tips til andre virksomheter?
Hvis du ser på bransjen i sin helhet, ville jeg nok vært mest bekymret for de som sier de er 100 % klare for GDPR. Jeg tror virksomhetene som ligger godt an heller vil si at de jobber målrettet mot dette, og at de har en plan for å nå fristen 25. mai. Men, vi er ikke helt klare per nå.
Er noen 100 % klare for GDPR?
Det er helt sikkert virksomheter som er det, men det avhenger også av de spesifikke utfordringene hver virksomhet står ovenfor, og hva de må gjøre for å bli klare.
Kan du gi et tips på hva det vil innebære for en virksomhet å være i overensstemmelse med GDPR?
Det handler i stor grad om en bevisstgjøring i hele virksomheten om problemer knyttet til persondata. Det handler om at man må tenke persondata først, og at alle nye prosjekter må ha med dette perspektivet. Dét er et viktig aspekt ved å jobbe i henhold til lovverket.
Hvordan har vi gått frem for å løse dette i Mynewsdesk?
Vi har tilnærmet oss GDPR fra to vinkler. Det ene er selvfølgelig at Mynewsdesk skal være i overensstemmelse med lovverket. Vi har jobbet med å definere og dokumentere alle interne prosesser som er nødvendig for å være det. Den andre vinkelen er at vi må hjelpe være kunder med å gjøre det samme. For å hjelpe kundene, har vi utviklet og gjort endringer i verktøyet som gjør det mulig for oss å bistå dem med å være på den riktige siden av GDPR.
Noen siste ord?
Vi har erfart at det er vanskelig å finne konkrete svar innad i bransjen. Direkte svar relatert til hvordan vi tolker GDPR og hva vi må gjøre for å jobbe innenfor lovverket er vanskelig å finne. Men, det jeg kan si er at vi må endre på gamle vaner, skape oppmerksomhet om persondata og problemer knyttet til dette, samt at vi må ha dette som utgangspunkt for alt vi gjør.
Som tidligere nevnt har Mynewdesk jobbet med GDPR i to år, og vi er forpliktet til å være klare for GDPR når den tid kommer, samt at vi har en plan for å være det.
Se intervjuet med Daniel Jonsson her.