Er du klar for GDPR? Her får du tipsene du trenger!

De nye personvernreglene (GDPR) som snart trer i kraft gir flere og strengere plikter enn før. Er du klar? Her får du tipsene du trenger!

De nye personvernreglene (GDPR) som snart trer i kraft gir flere og strengere plikter enn før. EUs forordning for personvern er det som skal erstatte det vi i dag kjenner som personopplysningloven.

Reglene trer i kraft i mai 2018, og gir Datatilsynet muligheten til å gi opptil 20 millioner Euro i bot eller enda mer for selskaper med stor global omsetning, til de som bryter loven. Men selv om de nye reglene kan virke overveldende, er det mye du og din bedrift kan gjøre allerede nå for å være klar til endringene trer i kraft. Dette starter 25. mai 2018!

Plikt til å føre protokoll gjelder ikke virksomheter under 250 ansatte. Ellers gjelder alle regler også for dem. Du kan bli bøtelagt med høye bøter hvis du ikke har satt deg inn i, og følger opp de nye reglene.

GDPR tips

Sjekkliste:

Her er en sjekkliste som din bedrift kan følge for å få et best mulig utgangspunkt for å være klar til endringene:

1.     Følg reglene som allerede eksisterer

Sett deg inn dagens regelverk. De nye reglene gir mange endringer, men mye er gjort hvis bedriften din begynner å følge reglene som allerede foreligger fra personopplysningsloven fra 2000. 

  • Lovlighet: rettslig grunnlag (f.eks. avtale, lov eller samtykke)
  • Rettferdighet: fremstå som rimelig og forholdsmessig for formålet  
  • Gjennomsiktighet: informasjonsplikt og innsynsrett 
  • Formålsbegrensning: spesifikt angitt og berettigede; forbud mot uforenlige formål
  • Dataminimering: opplysningene skal være relevante og nødvendige for formålet
  • Riktighet: opplysningene skal være korrekte og oppdaterte  
  • Lagringsbegrensning: opplysningene skal anonymiseres eller slettes når formålet er oppnådd
  • Integritet og fortrolighet: tilstrekkelig informasjonssikkerhet
  • Ansvarlighet: Behandlingsansvarlig er ansvarlig for og skal kunne påvise etterlevelse
  • Den som har kompetanse til å treffe beslutninger om behandlingen eller faktisk gjør det.

2.     Kartlegg bruk av personopplysninger

Bedriften din må skaffe en fullstendig oversikt over hvilke personopplysninger dere sitter på. Dette kan være alt fra e-postlister, kundelogger til interne notater som gjelder enkeltpersoner. Dere må deretter kartlegge når og hvordan og opplysningene brukes, formålet og hvilke opplysninger som brukes.

3.     Har du lov til å bruke opplysningene?

Deretter må dere vurdere om bedriften har gyldig behandlingsgrunnlag. Det vil si om opplysningene kan brukes. Dette kan være lovhjemmel, samtykke fra den registrerte eller en gyldig nødvendighetsgrunn. Et eksempel på gyldig nødvendighetsgrunn kan være at arbeidsgiveren må ha kontonummeret til en ansatt for å kunne betale lønn.  

4.     Risikovurdering og informasjonssikkerhet

Enkeltpersoner skal føle seg helt sikre på at opplysningene om han eller hun ikke blir misbrukt. Bedriften din kan forsikre den registrerte om dette ved å sørge for tilgjengelighet, integritet og konfidensialitet.

Tilgjengelighet vil si at personopplysningene skal være tilgjengelige for det formålet de er tiltenkt, og at enkeltpersoner enkelt kan få innsyn i opplysningene som er lagret om han eller henne. Bedriften må bare bruke opplysningene til tiltenkt formål, og ha backup der det er nødvendig.

Integritet betyr i dette tilfellet at opplysningene er korrekte og sikret mot at uautoriserte kan endre dem. I tillegg må det være tiltak mot ødeleggende programvare.  

Konfidensialitet sikres ved å ha gode rutiner for at uvedkommende ikke får innsyn, og for eksempel at opplysninger som sendes elektronisk utenfor behandlingsansvarliges kontroll krypteres.

Risikovurdering vil si at virksomheten vurderer faren for at et sikkerhetsbrudd kan inntreffe, og mulige konsekvenser for de registrerte hvis det skjer. Dette kan handle om alt fra hacking av databaser til feilsendte e-poster.

5.     Lag rutiner for internkontroll

Dette er noe av den viktigste bedriften din kan gjøre. Rutiner for internkontroll vil si rutiner som sikrer at virksomheten overholder reglene om personvern – herunder innhenting og kontroll av opplysninger, vurdering av formål med behandlingen, oppfølging av avvik, behandling av innsynsbegjæringer, behandling av krav om reservasjon eller sletting. Denne internkontrollen må dokumenteres. 

Er man en liten eller mellomstor bedrift på flere enn ti ansatte skal man ha verneombud. Et verneombud skal ha et eget verneombudskurs, og det er faktisk hans eller hennes rolle å foreta internkontroll jevnlig. Punkt fem, lag rutiner for internkontroll, han derfor være naturlig å legge på verneombud, da han / hun allikevel skal foreta internkontroll jevnlig.

 

KILDER:

Advokat Cecilie Rønnevik i SimonsenVogtWiig
Alternativ Karrieremamma: http://www.alternativ-karrieremamma.com/425228864
Computerworld: http://www.cw.no/artikkel/hva-andre-mener/hva-andre-mener-klokken-tikker-mot-250518-du-klar-gdpr
Proviso: http://blogg.provisoevent.no/eus-nye-regelverk-for-personvern-er-du-klar-for-gdpr
VISMA: https://www.visma.no/bwise/nyheter/gdpr/