Blogg

Blogg

GDPR og krav til dokumentasjon. Dette gjelder alle virksomheter!

av Elisabeth Rustand

Office workplace with laptop and smartphone with social network diagram on wooden desk as concept.jpegVed innføringen av GDPR er det helt sikkert at kravet til dokumentasjon og interne rutiner øker. I prinsippet må du kunne dokumentere at virksomheten etterfølger loven og at du har tenkt nøye gjennom hvorfor dere gjør som dere gjør. Per dags dato står det ikke konkret i forordningsteksten hva som skal dokumenteres, men det beskrives en rekke tiltak som kreves gjennomført. Når så vi vet at man må dokumentere at man følger loven, så sier det seg selv at man må dokumentere det man gjør for å tilfredsstille kravene.

Informasjonssikkerhet (IT-sikkerhet) og rutiner for å sikre personopplysningene er noe av det absolutt mest sentrale i loven

Det kreves at man planlegger og gjennomfører både tekniske og organisatoriske tiltak for å oppnå et godt nok sikkerhetsnivå. Arbeidet med dette bør forøvrig også inkludere fysisk sikring.

Dette er ledelsens ansvar – både den daglige ledelse og styret må involveres. Så kan man gjerne (og helst) opprette en egen personvernansvarlig. Noen er pålagt og ha et eget ombud, men all må ha en som har tid og kunnskap til å ta ansvar. Dette trenger ikke være en jurist, men det må settes av ressurser til arbeidet. Rutiner og årlig vedlikehold og oppdateringer kreves som en følge av innføringen.

Få det ned på papiret

Personvernforordningen er omfattende og komplisert og jobben vil ikke være over på et gitt tidspunkt.  Arbeidet med GDPR-tilpasninger krever planmessig arbeid. Les gjerne vår artikkel "GDPR - innvirkning og hva du bør gjøre". Vi anbefaler at du gjør vurderinger og skriv ned hvorfor dere gjør som dere gjør. Datatilsynet vil sannsynligvis være mer interessert i dokumentasjonen og tankene bak -  at dere vet hvor persondata er lagret, hvorfor dere har dem og hvor sikre de er, enn om dere er 100% «compliant» fra første stund.

Selv om ikke alle krav til dokumentasjon er på plass enda så er det en rekke ting vi vet man må få oversikt over, så det er bare å komme i gang:

  • Lag en oversikt over hvilke persondata bedriften besitter og hvor de lagres. Persondata er alt som kan knyttes til en person. F.eks data om dine ansatte, kunder og de dere markedsfører dere mot. Husk at tjenester som MailChimp og HubSpot er en viktig del av dette. 
  • Still spørsmålet - hvorfor har vi disse dataene. Er det ingen god grunn så er det bare å slette dem!
  • Hvilke behandlinger gjør dere og til hvilket formål lagrer og behandles persondata og hva er nødvendig info for å få gjennomført denne behandlingen (du har ikke lov til å ha flere opplysninger enn de du strengt tatt trenger).
  • Behandlingsgrunnlag – hvile rettigheter har dere til å lagre og behandle persondata (behandlingsgrunnlag som enten er hjemlet i lov, i samtykker eller er det kan være interesseavveining)?
  • Rutiner for å ivareta rettighetene til den registrerte - for oppdatering, sletting, behandling av innsigelser og mulighet for begrenset behandlingsgrunnlag (man har f.eks. mulighet til å si ja til personlig e-post, men ikke automatiserte) Det er også et krav at personvern er innebygget i bedriftens IT-løsningen. Les hva Datatilsynet krever her.
  • Ruiner ved brudd eller uønskede hendelser. I dette ligger det også en vurdering av hvilke konsekvenser det er for den regitrerte om brudd skjer og hvordan registrerte skal informeres.
    • Hva som skjedde?
    • Konsekvenser for alle parter?
    • Hva gjøres for å rette opp i det?
    • Hva gjøres for at det ikke skal skje igjen?
    • Meldes til Datatilsynet og i de fleste tilfeller den registrerte.
  • Rutiner for overføring til eventuell 3. part eller andre land.
  • Rutiner og oppgaver for den personvernansvarlige .
  • Hvilke avtaler er nødvendig å ha på plass. Databehandleravtaler med leverandører, nettjenester (som f.eks. MailChim) og med kunder,  dersom dere behandler persondata på vegne av dem.
  • Sikring og styring av tilgang til personopplysningene. Det skal gjennomføres tiltak og dokumenteres at enhver fysiske person, som har tilgang til personopplysninger, bare behandler opplysningene etter instruksene som er gitt. Tilgangstyring er et område vi i Teknograd er opptatt av og har gode løsninger og tjenester for - les vår artikkel Tilgangsstyring for effektivitet og sikkerhet.
  • Rutiner for anskaffelse av IT-systemer og løsninger er også en del av arbeidet med GDPR. Sørg for at du har avaler med noen som kan dokumenter at de leverer i samsvar med kraven og som er opptatt av å være i samsvar selv.
  • Rutiner og hjemmel for innsyn i arbeidstakeres e-postbokser og elektroniske filer – se vår artikkel om innsyn i ansattes e-post og private filer her. 

For å iverksette riktige sikringstiltak og retningslinjer må det ligge en risikovurdering (konsekvensene for personvernet) til grunn. Hvilke rutiner som skal lages avhenger blant annet av denne denne vurderingen. Legg gjerne inn selve risikovurderingen i dokumentasjonen.

Hvis (eller når) Datatilsynet kommer på døren og/eller uønskede hendelser skjer er det, som sagt, antakelig dokumentasjon det første som etterspørres. Dokumentasjon viser at du har et bevisst forhold til dette og det er svært viktig.

Alle bør lage en IT-instruks der blant annet ansattes bruk av virksomhetens datautstyr, mobiler og applikasjoner reguleres og hvor data skal lagres.  Dette er også en naturlig del av det arbeidet som gjøres i forbindelse med tilpasning til personvernforordningen, utover det at det er tvingende nødvendig for å kunne opprettholde et godt nivå på informasjonssikkerheten i bedriften generelt. De aller fleste sikkerhetsbrudd skjer pga menneskelige feil eller uaktsomhet. Ledelsen har ansvaret og da er det lurt å sikre seg at de ansatte opptrer innenfor bedriftens policy.

Har du ikke en IT-instruks og avtale med de ansatte – last ned vår oversikt med hva som bør med i en slik avtale: 

New call-to-action

 

Det kan være flere ting enn det vi har snakket om her du bør ha rutiner på, men dette er avhengig av blant annet din type virksomhet og i hvilken grad du bruker personopplysninger. Listen vi har laget i denne artikkelen er ikke ufyllende, men vi i Teknograd ønsker å belyse områder du uansett må ta tak i nå og som gjør at du er et godt stykke på vei. Vi gjør også en stor jobb selv og har et stort ansvar og krav som skal tilfredsstilles. Vi har også tenkt nøye gjennom hva vi som tjenesteyter innen IT faktisk kan bidra med i våre kunders streben etter compliace. Ingen kan frata den enkelte bedrifts ansvar. Men, vi tar det ansvaret våre databehandleravtaler og loven krever av oss. I tillegg kan vi bistå med at IT-løsningene vi leverer har innebygget personvern og sikkerhet.

Klikk her dersom du ønsker en prat med oss om avtaler med ansatte og andre sikringstiltak. Det er helt uforpliktende.

 Et møte om avtale med ansatte

 

En blogg fra Teknograd

Teknograd AS er et IT selskap som hver dag jobber for å sikre kundene de riktige IT-løsningene. Vi er lidenskapelig opptatt av at det skal fungere og at det er sikkert. Overlat ansvaret for IT løsningene til oss – så kan du bruke tiden på det du er god på.  Vi har stor tro på at høy kompetanse, god service og gjensidig tillit skaper det beste grunnlaget for et godt samarbeid. 

Få e-post om nye innlegg