Vi har pratat med GDPR-experten Karen Lawrence och tagit del av hennes insikter om hur man lyckas med sitt GDPR-arbete. Vår intervju med Karen handlar bland annat om:
- Värdet av att göra en GDPR gap-analys för att få reda på exakt vad som behöver förbättras i ert GDPR-arbete.
- Tre konkreta saker, alla företag kan göra för att komma igång med efterlevnad av GDPR.
- Varför ni bör använda en konsekvensbedömning (TIA) för att säkerställa att era internationella dataöverföringar lever upp till GDPR kraven.
Vem är Karen Lawrence?
Karen Lawrence är en Stockholmsbaserad informationssäkerhets- och GDPR-expert med över 30 års erfarenhet och självskriven GDPR-nörd. Idag, arbetar Karen som konsult inom integritetsskydd på OmegaPoint och som dataskyddsombud på Sparks Generation. Hennes dagliga arbete går ut på att hjälpa organisationer att efterleva GDPR.
Karen har tidigare arbetat som dataskyddsombud för flera företag, GDPR-konsult och har till och med fungerat som expert för Europeiska kommissionen. Dessutom är hon certifierad Europrivacy Implementer. Så hon vet vad hon pratar om.
Vi är glada över möjligheten att få intervjua Karen om aktuella GDPR-trender och om de konkreta åtgärder som företag kan vidta i sitt GDPR-arbete. Vi hoppas att du har nytta av insikterna.
Låt oss nu komma igång med intervjun med Karen Lawrence.
Lär känna Karen och hennes arbete med dataskydd
Hur kom det sig att du började arbeta inom området och hur förändrades ditt arbete när GDPR trädde i kraft?
"Jag skrev en bok om integritet som publicerades av British Computer Society 2009. Den var lite före sin tid egentligen. Men eftersom jag hade skrivit en bok ansågs jag plötsligt vara "experten" och blev tilldelad dataskyddsprojekt när jag arbetade som konsult för Hewlett-Packard. Mitt första stora dataskyddsprojekt kom 2009 och var inom telekommunikationssektorn."
Vad är det som gör att du brinner för just GDPR?
"Rätten till privatliv är en mänsklig rättighet och förklaras som sådan i deklarationen om mänskliga rättigheter (1948). GDPR kodifierar detta i lagtext. Det som är unikt med GDPR jämfört med dess föregångare (dvs. dataskyddsdirektivet) är att den ger kontroll över personuppgifter till den person som uppgifterna berör, vilket gör GDPR till den starkaste sekretesslagen i världen."
Läs om vad dataskydd är och varför det är viktigt för din organisation
Att arbeta med GDPR: Utmaningar och förslag
Vad kan vi göra för att GDPR ska bli ett ämne som fler människor bryr sig om och vill lära sig mer om?
"Tyvärr är det böter som kommer att få folk att bry sig, dvs. de personer som sitter i en organisations ledning och fattar beslut om vilka resurser som finns tillgängliga för att se till att GDPR efterlevs."
Vad är det största missförståndet människor har om GDPR?
"Att det är ännu en lag som skapats för att göra våra liv mer komplicerade och att rollen som dataskyddsombud måste fyllas av en jurist. "
Vad kan GDPR-ansvariga göra för att ändra på detta?
"Mycket av det som krävs av GDPR borde ha gjorts ändå, t.ex. utbildning av anställda, tillräckligt hög säkerhet, dokumentation av affärsprocesser/ dataflöden, effektiva kommunikationskanaler med kunder osv. Faktum är att en organisation inte behöver en GDPR-expert (som jag) för en stor del av arbetet...
...Den bästa DPO jag har arbetat med var en mycket erfaren projektledare, hon kunde sin verksamhet (försäkringar) utan och innan, då hon arbetat i verksamheten i över 30 år. "
Vad är ett exempel på ett GDPR-initiativ som du har sett fungera väl i företag?
"En GDPR gap-analys som visar vad som saknas samt ger förslag på vilka åtgärder som behövs."
Vad ser du som några av de största utmaningarna när det gäller att arbeta med GDPR/ och efterleva kraven varje år?
"Internationella transaktioner är ett stort problem när det handlar om överföringar till länder som inte har ett "beslut om tillräcklig skyddsnivå. De flyttade målstolparna för överföringar till USA, ogiltigförklaringen av Safe Habor, därefter Privacy Shield, och nu ett nytt avtal på väg ... vi undrar bara hur länge detta kommer att pågå ...Shrems slipar redan sitt svärd för den tredje ronden."
Vad är 3 konkreta saker som företag kan göra för att komma igång med sitt GDPR-arbete?
"Hmm.. Det beror på situationen men det som är gemensamt för de som inte ännu har något är:
- Utbildning i integritetsskydd för alla anställda/leverantörer
- Upprätta ett register över databehandlingsaktiviteter med rättslig grund för behandlingen.
- Implementera ett meddelande om integritet och bedöma behovet av kakor på sin hemsida "
Finns det specifika saker som du ser att många företag slarvar med? Och vad kan de göra för att undvika detta?
"Dataskyddsombudets roll slås ofta samman med andra funktioner, t.ex. CISO, vilket skapar en intressekonflikt. Varför detta är en konflikt kan du läsa om i denna IAPP-artikel. Det har förekommit en hel del rättsfall där kombinationen av dataskyddsombud och andra roller har resulterat i böter. "
Läs mer om dataskyddsombundets roll
Implementering av GDPR, rättsfall och domar
Vilka GDPR-fall och domar tycker du säger något om hur GDPR kommer att tolkas i framtiden?
"Det finns en hel del fall. Ett intressant fall som väckte mitt intresse nyligen var ett beslut om tolkningen av anonymiserade uppgifter. Anonymiserade uppgifter betraktas inte som personuppgifter enligt GDPR. Personuppgifterna pseudonymiserades av den personuppgiftsansvarige, men "anonymiserades" när de skickades till en underleverantör, så att de kunde göra en analys. Tolkningen av anonymiserade uppgifter har varit luddig, och kommer troligen att fortsätta vara det under en tid. Men i det här fallet, eftersom den unika pseudonymiserade nyckeln behölls, beslutades det att uppgifterna var pseudonymiserade och inte anonymiserade och att de registrerade skulle ha informerats om denna databehandling."
Du kan läsa mer om fallet med pseudonymiserade uppgifter här.
Internationella dataöverföringar har blivit mer komplicerade i och med GDPR. Vad kan företag göra för att se till att deras dataöverföringar uppfyller kraven?
"Genomför en konsekvensbedömning av alla personuppgifter som överförs för att bedöma riskerna och åtgärda dem i enlighet med detta. "
AI-verktyg har fått mycket uppmärksamhet under det senaste året. Vilka skyldigheter har företag att säkerställa dataskydd med AI-verktyg?
"Genomför en konsekvensbedömning avseende dataskydd (DPIA) för all databehandling med hög risk, dvs. som utgör en risk för den fysiska personens rättigheter och friheter. "
Många organisationer använder ramverk för cybersäkerhet i sitt dataskyddsarbete. Vilka är fördelarna med att arbeta med ett säkerhetsramverk som CIS eller ISO 27000?
"I artikel 40 i GDPR-lagen rekommenderas användning av uppförandekoder, som är säkerhetsstandarder och andra standarder som kan användas som internationellt godkända ramverk för efterlevnad. "
Håll koll på GDPR-trenderna - Karens råd och rekommendationer
Vilket råd skulle du ge företag som precis har kommit igång med sitt GDPR- och dataskyddsarbete?
"Det finns ofta en bristande koppling mellan den juridiska sektorn, verksamheten och IT. Det kan vara bra att ta in en compliance-person som kopplar samman dessa funktioner. Det är i princip vad jag gör för det mesta nuförtiden."
Vilka resurser använder du för att hålla dig uppdaterad om allt som rör GDPR?
"IAPP.org, LinkedIn, tillsynsmyndigheten i mitt land etc."
Har du några tips på poddar, nyhetsbrev eller liknande?
"International Association of Privacy Professionals har en global överblick över integritetslandskapet. The Daily Dashboard är ett kostnadsfritt nyhetsbrev."
Några avslutande ord
Stort tack till Karen för att hon ville ställa upp och dela med sig av sina insikter med oss! Det kan vara svårt att leva upp till GDPR, med luddiga och varierande krav på internationella dataöverföringar, dataanonymisering och AI-verktyg. Vi hoppas att Karens rekommendationer är till hjälp i ditt arbete med GDPR och dataskydd.
I vår blogg hittar du mer information om de ämnen som Karen tog upp, t.ex;
och mycket mer!
