Det kan fremstå som umulig å følge alle kravene i GDPR. Det viktige er at man prioriterer rett i hvor man begynner. Det er egentlig ikke så vanskelig.
Ett av de mest grunnleggende kravene i GDPR er at man må vite hvilke data man har og hvor de lagres, hvor lenge dataene lagres, om det er rutiner for sletting, autentiseringskontroll, om data lagres innenfor/utenfor EU og mye annet. Uten en slik oversikt er det umulig å oppfylle informasjonsplikten til de registrerte om, for eksempel, hvor lenge opplysningene om dem lagres, og man vil heller ikke kunne oppfylle sletteplikten.
En slik kartlegging må dels gjøres fra perspektiv til hvilke it-systemer som brukes, og dels ut fra hvilke prosesser bedriften har. Årsaken til at man trenger begge kartleggingene er at det er prosesseier i linjen som i praksis har ansvar for å sikre at man har hjemmel for det man gjør, ta stilling til hvor lenge dataene kan lagres, med hvem de kan deles, og om man skal bruke dataene til statistikk, osv. Og en enkelt prosess vil som regel involvere flere it-systemer. Prosesser må altså kartlegges. Rutinene fra prosesseier vil dels ha betydning for it-systemer, men også for annen informasjonshåndtering i bedriften.
Dette krever at man har oversikt over hvilke it-systemer bedriften bruker. Avhengig av størrelse på bedriften, kan antall it-systemer være så stort at det fremstår som uoverkommelig å kartlegge alle systemene. Prioriteringen er da ganske enkel. Man må først kartlegge de systemene som har flest personopplysninger og hvor de mest sensitive personopplysningene er. En slik systemkartlegging gir en oversikt over både tekniske rammevilkår (kan systemet slette?), og det juridiske rammeverket (tilsier avtalen med leverandøren at leverandøren bruker personale fra India til å supportere systemet?). Slike ting vil prosesseier ofte ikke kunne svare på, det er it-avdelingen som kan.
Også i kartleggingen av prosesser må man prioritere ut fra hvilke prosesser som involverer mest personopplysninger. Det er ikke sikkert at prosessen for håndtering av firmabiler er like viktig som hvordan man håndterer varslingssaker eller kundesamtykker i store kundelojalitetsprogrammer.
Et tredje prioriteringsspørsmål er om man skal kjøre metodikk à la amerikansk «sox-compliance» på kartleggingsspørsmålene. Det finnes metodikk (både i excel og i datasystemer) som har flere hundre spørsmål knyttet til hvert enkelt it-system og til hver prosess. Det kan være lurt å nedskalere en slik liste, slik at man står igjen med færre spørsmål som organisasjonen klarer å forholde seg til.
I slike prioriteringer må man sørge for at man kartlegger det GDPR setter som de viktigste kravene inn mot den praksisen man driver. Hvis man, for eksempel, ikke rammes av reglene om dataportabilitet, er det liten vits i å spørre om systemene og rutinene åpner for portabilitet. Hvis man har mange ansatte, vil det være lurt å kartlegge godt om individets grunnleggende rettigheter om innsyn, retting og sletting er ivaretatt godt nok. Erfaringsmessig vil mellom 25-50 tilpassede spørsmål til systemer og prosesser dekke de flestes behov i en kartleggingsprosess.
