21. feb, 2018

Er du klar for GDPR?

De nye personvernreglene (GDPR) som snart trer i kraft gir flere og strengere plikter enn før. EUs forordning for personvern er det som skal erstatte det vi i dag kjenner som personopplysningloven.

Reglene trer i kraft i mai 2018, og gir Datatilsynet muligheten til å gi opptil 20 millioner Euro i bot eller enda mer for selskaper med stor global omsetning, til de som bryter loven.

Men selv om de nye reglene kan virke overveldende, er det mye du og din bedrift kan gjøre allerede nå for å være klar til endringene trer i kraft. Dette starter nå 25 mai 2018!

  • Unntak for SMB?

    • Plikt til å føre protokoll gjelder ikke virksomheter < 250 ansatte (art. 30). Ellers gjelder alle de nye (og gamle) også for dem. Forskjellen er fra 25 mai, at du kan få svimlende bøter om du ikke følger reglene. Med andre ord.. les videre

      Sjekkliste:

      Her er sjekkliste som din bedrift kan følge for å få et best mulig utgangspunkt for å være klar til endringene. Se om din bedrift er klar!

       

      1.Følg reglene som allerede eksisterer

      Sett deg inn dagens regelverk. De nye reglene gir mange endringer, men mye er gjort hvis bedriften din begynner å følge reglene som allerede foreligger fra personopplysningsloven fra 2000.  

  • Lovlighet: rettslig grunnlag (f.eks. avtale, lov eller samtykke)

  • Rettferdighet: fremstå som rimelig og forholdsmessig for formålet  

  • Gjennomsiktighet: informasjonsplikt og innsynsrett 

  • Formålsbegrensning: spesifikt angitt og berettigede; forbud mot uforenlige formål

  • Dataminimering: opplysningene skal være relevante og nødvendige for formålet

  • Riktighet: opplysningene skal være korrekte og oppdaterte  

  • Lagringsbegrensning: opplysningene skal anonymiseres eller slettes når formålet er oppnådd

  • Integritet og fortrolighet: tilstrekkelig informasjonssikkerhet

  • Ansvarlighet: Behandlingsansvarlig er ansvarlig for og skal kunne påvise etterlevelse

    • Den som har kompetanse til å treffe beslutninger om behandlingen eller faktisk gjør det.

      2.Kartlegg bruk av personopplysninger

      Bedriften din må skaffe en fullstendig oversikt over hvilke personopplysninger dere sitter på. Dette kan være alt fra epostlister, kundelogger til interne notater som gjelder enkeltpersoner. Dere må deretter kartlegge når og hvordan og opplysningene brukes, formålet og hvilke opplysninger som brukes.

      3.Har du lov til å bruke opplysningene?

      Deretter må dere vurdere om bedriften har gyldig behandlingsgrunnlag. Det vil si om opplysningene kan brukes. Dette kan være lovhjemmel, samtykke fra den registrerte eller en gyldig nødvendighetsgrunn. Et eksempel på gyldig nødvendighetsgrunn kan være at arbeidsgiveren må ha kontonummeret til en ansatt for å kunne betale lønn.  

      4.Risikovurdering og informasjonssikkerhet

      Enkeltpersoner skal føle seg helt sikre på at opplysningene om han eller hun ikke blir misbrukt. Bedriften din kan forsikre den registrerte om dette ved å sørge for tilgjengelighet, integritet og konfidensialitet.

      Tilgjengelighet vil si at personopplysningene skal være tilgjengelige for det formålet de er tiltenkt, og at enkeltpersoner enkelt kan få innsyn i opplysningene som er lagret om han eller henne. Bedriften må bare bruke opplysningene til tiltenkt formål, og ha backup der det er nødvendig.

      Integritet betyr i dette tilfellet at opplysningene er korrekte og sikret mot at uautoriserte kan endre dem. I tillegg må det være tiltak mot ødeleggende programvare.  

      Konfidensialitet sikres ved å ha gode rutiner for at uvedkommende ikke får innsyn, og for eksempel at opplysninger som sendes elektronisk utenfor behandlingsansvarliges kontroll krypteres.

      Risikovurdering vil si at virksomheten vurderer faren for at et sikkerhetsbrudd kan inntreffe, og mulige konsekvenser for de registrerte hvis det skjer. Dette kan handle om alt fra hacking av databaser til feilsendte e-poster.

      5.Lag rutiner for internkontroll

      Dette er noe av den viktigste bedriften din kan gjøre. Rutiner for internkontroll vil si rutiner som sikrer at virksomheten overholder reglene om personvern – herunder innhenting og kontroll av opplysninger, vurdering av formål med behandlingen, oppfølging av avvik, behandling av innsynsbegjæringer, behandling av krav om reservasjon eller sletting. Denne internkontrollen må dokumenteres.  

      Er man en liten eller mellomstor bedrift på mer enn 10 ansatte skal man i dag ha Verneombud. Ett verneombud skal ha ett eget kurs, og det er faktisk hans eller hennes rolle å foreta internkontroll jevnlig. Punkt nr 5 er da naturlig å legge på denne rollens kappe, da dette faktisk er det denne rollen skal utføre.