GDPR-dagen den 25 maj närmar sig med stormsteg. För de flesta av oss pågår samtal, men har handlingsplaner satts på plats? Utbildas personalen? Finns det en dataskyddsledning på plats?
Processerna verkar mödosamma, men detta är av goda skäl. Den nya förordningen är en uppdatering av 1998 års lag som skapades ur EU:s dataskyddsdirektiv 1995. Så varför ändra den nu?
Världen var en annan plats för 20 år sedan. Amazon lanserades i juli 1995 och i september samma år lanserades eBay. Första gången du kunde skicka ett textmeddelande med prediktiv text var 1993. Och de flesta datorer hade 8 MB ram – med ytterligare 4 MB ram som kostade $400. Sedan 1995 har vi sett lanseringen av Facebook (februari 2004) och Twitter (mars 2006) bland många andra plattformar som vi glatt har överlämnat personuppgifter till.
Interaktion med våra personuppgifter, var de var värd, och våra köpvanor var på gränsen till gigantiska störningar. Vi tänkte inte på var vår data fanns, vem som använde den eller ens om den köptes och såldes som en vara.
Om man jämför vår värld med nu är det lätt att se varför de tidigare lagarna är föråldrade och anledningen till att GDPR träder i kraft – för att ersätta och stärka dataskyddslagen.
Det finns flera krav för GDPR , men dessa kan grupperas i tre huvudområden:
Utbilda personalen för att säkerställa att de förstår regelverket och gör praktiken kompatibel – det är allas ansvar som hanterar personuppgifter. För att uttrycka det på ett annat sätt om en klient ringer och frågar var deras personuppgifter finns, skulle alla veta det?
Tilldela en dataskyddsledning för att säkerställa att någon har GDPR i huvudet och har befogenhet att göra ändringar och råda cheferna att genomföra förändringar, samt tillhandahålla fortlöpande utbildning. Alla i en praktik måste också förstå hur de ska reagera om ett "dataintrång" inträffar.
Granskning av befintliga processer avgör hur data används, hanteras och delas inom praktiken och kunder.
Se till att lösenord och dokument lagras på ett säkert sätt (inklusive de på bärbara datorer och smarta enheter) och att kundengagemangsbrev har uppdaterats.
Redovisningspraxis bör också titta på policyer för att korrekt identifiera uppringare och säkerställa att det finns en process för att förhindra att felaktig information delas med fel kunder.
Att göra en handlingsplan med deadlines är ett måste. Detta bör inkludera skapandet av databearbetningsregister, en dataskyddspolicy, en säkerhetsgranskning och att söka nytt samtycke vid behov.
Du måste dokumentera vilka personuppgifter du har, var de kommer ifrån, vem du delar dem med och vad du gör med dem. När granskningen är klar kommer den att hjälpa till att lösa eventuella brister för att säkerställa efterlevnad av GDPR.
När policyer väl har definierats måste de dokumenteras, delas med personalen och bli den nya "business as usual". Det är bra att hålla dina kunder medvetna om de framsteg du har gjort.
Det finns en uppsjö av resurser tillgängliga för att hjälpa till med efterlevnad. Information Commissioner's Office (ICO ) ger god allmän affärsrådgivning inklusive mallar för att dokumentera var alla personuppgifter lagras. För specifik information om redovisningspraxis finns det massor av specifika guider och resurser med IRIS GDPR nav.
Slutligen, även om det finns många metoder (och företag) som oroar sig för att GDPR är betungande, är det värt att jämföra med standarder för livsmedelshygien. Alla livsmedelsinrättningar, oavsett storlek, måste följa hygienstandarder.
Ingen skulle äta på ett kafé som leker snabbt och lös med hygien och detsamma kan sägas om metoder som inte skyddar sina kunders data.
Den nya dataskyddsförordningen är nu precis runt hörnet, att bestämma när man ska agera är inte ett alternativ. Att bestämma vad som ska göras den här veckan är en prioritet. Vi vill inte att någon ska bli matförgiftad, eller hur?
