Steg 1: Kartlegging

Din virksomhet har antageligvis allerede gjort en kartlegging av personopplysninger i arbeidet med personvern, men er det viet tilstrekkelig oppmerksomhet til de ustrukturerte dataene? Siden GDPR gjelder ALLE personopplysninger er det fordelaktig å gå gjennom det hele på nytt, men nå med tanke på ustrukturerte data. For dette vil jeg anbefale at det arrangeres en workshop, med ulike folk i virksomheten som kan tenkes å behandle personopplysninger. Ta gjerne med noen representanter fra hver avdeling eller hvert virksomhetsområde, og sørg for at minst én fra ledelsen er med slik at man får forankret arbeidet også i toppen.
Dersom å arrangere en workshop ikke er aktuelt, kan man gjennomføre intervjuer hvor man tar med sjekklisten rundt i ulike avdelinger, og forhører seg om hvordan behandling av personopplysninger foregår.

flyt
Bildet viser en typisk flyt der en medarbeider i salgsavdelingen har eksportert en liste med viktige kunder, for å finne ut hvilke bedriften skal jobbe videre med. Her ender man opp med fem kopier av listen med alle personopplysningene liggende som lokale kopier, i sky og i e-postboksene til avsender og mottaker. Prøv å få nedtegnet slike typer prosesser som er typiske for din virksomhet.

Sjekkliste