Når vi om et drøyt halvår må forholde oss til den største personvernreguleringen som er gjennomført på europeisk, og på mange måter globalt, nivå kommer mange til å bryte loven. Flere har allerede innstilt seg på bøter, men også mange av de som møter 25. mai 2018 med en ambisjon og tro på at egne rutiner og systemer vil holde dem på den rene sti, vil bryte den nye personvernlovgivningen. Det største hinderet for virksomheter som skal håndtere personvern på en tilfredsstillende måte er ustrukturerte data. Gamle rutiner, utdatert teknologi og uoversiktelige systemer vil rett og slett hjemsøke mange virksomheter.
I denne sammenheng er det helt nødvendig å definere ustrukturerte data. Det er alle data som ligger utenfor de tradisjonelle silo-systemene, hvor de er strukturerte og kan settes i en sammenheng. Dette er eksempelvis dokumenter, bøker, uformelle digitale notiser, eposter, videoer, bilder og andre data som er vanskelig å automatisere og forstå innholdet av.
3 av 4 norske virksomhetsledere sier, i følge en undersøkelse gjennomført av Norstat på oppdrag for IntelliSearch, at de har opplevd å ikke gjenfinne informasjon de vet eksisterer på intranettet, i mailen eller i andre løsninger. Et typisk “ustrukturerte data-problem”. Vi vet det finnes, men mangler oversikt over hvor dataene er lagret.
La oss trekke frem tre konkrete og relle situasjoner, hvor personene ikke tenkte over hvilke GDPR-spor som ble lagt igjen etter hendelsene.
- En konferanse ble gjennomført, hvor en person også registrerte informasjon om forskjellige allergier. Informasjonen ble skrevet inn i et konferansesystem hos arrangøren. Deretter ble informasjonen om spesielle hensyn sendt pr epost til kokken, som igjen sendte informasjonen videre til sine kollegaer på kjøkkenet. Arrangøren slettet etter konferansen denne informasjonen i sitt system, men informasjonen ligger fortsatt i flere inn- og utbokser hos en rekke enkeltpersoner og virksomheter. Ustrukturert og uoversiktlig.
- Ved nyansettelser er det ofte en formell rutine og registrering av søkere. Alt dette slettes trolig etter prosessen er ferdig, men all dialog, både formell og uformell som er sendt frem og tilbake på epost mellom de som deltar i vurderingen, blir sjelden fulgt opp i ettertid. Ustrukturert og uoversiktlig.
- En lærer skrev en bekymringsmelding på sin PC, og lagret dette i et dokument på skolens server. Læreren klippet deretter ut teksten og sendte det på mail til noen hun kjente i barnevernet. Denne personen klippet ut informasjonen fra mailen, og la det over i et formelt saksdokument. Der lå det trygt lagret og forvaltet etter de gjeldene reglene. Likevel glemte alle informasjonen som lå igjen på skolens server, i utboksen til læreren og i innboksen til personen i barnevernet. Ustrukturert og uoversiktlig.
Dette er eksempler på data som ikke ligger strukturert i en database eller et excel ark. Personinformasjon som er samlet over lang tid, skrevet i dokumenter, sendt over epost og gjerne i en uformell språkdrakt med et innhold ingen helt har oversikt over. Etter 25. mai 2018 er eksemplene ovenfor å anse som brudd på personvernlovgivningen.
Det er vanskelig å håndtere denne type data, fordi de fleste virksomheter mangler en god løsning for å søke etter og gjenfinne slike data. Om du har et godt CRM-system, hjelper det deg ikke mot all informasjonen som flyter i eposten eller på filserveren. Det kan virke som at mange IT-ledere allerede har innsett tapet mot ustrukturerte data, og å få på plass de rutinene som behøves. I en undersøkelse gjennomført av det globale analysefirmaet Ovum tror nemlig over halvparten (52 prosent) av globale IT ledere at GDPR vil resultere i bøter for deres virksomhet. Dette er skremmende høye tall, og viser at det åpenbart er en kombinasjon av både stor usikkerhet og frykt der ute.
Det er i dag først og fremst et enormt fokus på at forskjellige software-løsninger skal bli «GDPR Ready». Dette betyr i hovedsak at de tillegger funksjonalitet for å finne frem, klassifisere og slette personrelatert informasjon. Utfordringen er da det manglende fokus på alle de andre dataene som ligger utenfor disse systemene – nemlig de ustrukturerte.
Dette bekreftes også av en av Norges beste advokater på området, Arve Føyen, som også forteller at «søkeverktøy er viktig både i forhold til å få oversikt over GDPR relaterte data, men også med tanke på kravet om å finne frem for å kunne slette disse datene».
Så hvordan bør håndhevingen av GDPR og ustrukturerte data håndteres?
Det bør jobbes tøft for å sørge for et krav om innsyn også i de ustrukturerte dataene, hvis ikke vil en eventuell kontroll bare ha en delvis effekt. Personvernet vil på mange områder ikke bli beskyttet på den måte GDPR er tenkt å bidra til, om ikke også ustrukturerte data blir kontrollert og regulert. Kaoset oppstår ettersom mange ikke har oversikt over hvilken informasjon de faktisk besitter utenfor de tradisjonelle silo-systemene, og det er i dag vanskelig å finne de raskt frem. Virksomheter må igjennom en læringsperiode hvor både ledelse og ansatte må få et nytt forhold til personvern og behandling av data. For myndighetene vil ved en eventuell kontroll kunne kreve at all GDPR-relatert informasjon vises frem. For å kunne kunne gjøre dette innenfor gitte frister, er virksomheten helt avhengig av å kunne finne frem og søke opp all data – også de ustrukturerte.
I forbindelse med et foredrag jeg nylig holdt, gjorde jeg korte undersøkelser i forhold til tilhøreres oversikt over egne data eller tilgang til løsninger for å finne frem i disse. Det var nærmest 100 prosent fravær av slike muligheter. Dette viser hvor aktuell problemstillingen er, og at det ikke har vært fokus eller krav rundt slike data tidligere. Nå kan du ikke som virksomhet velge bort å forholde deg til dette. Enhver person kan etter 25. mai 2018 kreve all slik informasjon utlevert og slettet.
For mange vil dette skape det fullstendige kaos!
