For selskapet ditt fikk IKKE millionbot, og IKKE fikk dere dårlig omtale, og dine ansatte skammet seg IKKE over det som IKKE hadde skjedd. Den registrerte eller Datatilsynet fikk IKKE rapport om det som IKKE skjedde – for det hadde jo IKKE skjedd, så det var uansett IKKE noe å rapportere om.
Alt dette var like greit, for dere hadde heller IKKE noen god løsning for å identifisere hvilke data og systemer som omhandlet persondata. Det gikk IKKE galt fordi dere behandlet slikt riktig, dere visste IKKE hvor det IKKE gikk galt, for dere har heller IKKE gjort noen analyse på hvor dere behandler persondata, og hvor dere IKKE gjør det. IKKE heller hvor slikt lagres, og IKKE når det slettes.
IKKE viste ledelsen eller styret at dere IKKE hadde kontroll på dette. IKKE viste dere hvem som hadde ansvaret, og IKKE viste dere at det burde inkludere å sikre at alle deres ansatte også vet hva som er godt personvern, og hva som IKKE er det.
Dere vet IKKE hvor lenge dette kan gå – men for dere som har lest hva jeg har skrevet så langt – så vet dere nå at dere IKKE lengre kan si at dere IKKE vet!
Jeg er IKKE i tvil om hva som trigget meg til å skrive denne teksten første gang – men det er IKKE tvil, mange av de sanksjoner som Datatilsynet har gitt, ville IKKE ha blitt gitt – om flere IKKE hadde nedprioritert sitt GDPR arbeide.
Men det har ført til at IKKE mange nok har tatt kontakt til at vi har blitt utsolgt, så derfor kommer denne igjen til dere som IKKE tok tak i dette forrige gang.
Selv om det norske Datatilsynet har sett mere enn en dobling i antall innrapporterte saker hittil i år, så er det mange virksomheter som fortsatt……;
- IKKE har avklart om og når de skal rapportere feil og mangler til den registrerte
- IKKE har ditto klart for rapportering til Datatilsynet
- IKKE er sikre på hvilket format og innhold de skal gjøre slik rapportering
- IKKE har utpekt hvem i virksomheten som skal koordinere slikt
- IKKE har satt opp rutiner og prosesser for å avklare databrudd
- IKKE har lært opp sine ansatte om mulige feil og mangler som utgjør databrudd
- IKKE har kartlagt kriteriene som skal definere hva som er gal og riktig behandling
- IKKE har identifisert sine behandlinger av persondata
- IKKE har identifisert hvilke systemer og strukturer som inneholder persondata
- IKKE har en god plan for å håndtere GDPR – uansett – og derfor IKKE har en sjanse til å nå 72 timers fristen – når noe virkelig skjer.
- Det er IKKE en dårlig ide å kjøre en generalprøve på dette.
Hvis du tenker dette IKKE lengre kan ignoreres i din bedrift – IKKE nøl med å starte ett GDPR prosjekt, og IKKE glem å inkludere opplæring av de ansatte. Og skulle du IKKE vite om PDS Norge og vår GDPR-Portal, så er det IKKE en dårlig ide å kontakte oss for å høre hvordan du IKKE trenger å arbeide alene om en god GDPR-løsning.
IKKE blir vi utsolgt heller, ta kontakt nå, og vi lar det IKKE gå langt inn i høsten 2021 før du er klar.
