Blogg

Blogg

GDPR (Personvernforordningen) - innvirkning og hva bør du gjøre?

av Elisabeth Rustand

Successful group of business people at the office.jpegDagens norske personvernlovgivning bygger på EUs personverndirektiv fra 1995. Siden den gang har mye endret seg, ikke minst på det teknologiske området. Den digitale tiden vi er i og måten vi jobber på -  hvordan deler informasjon og kommuniserer på, har gitt dramatisk endrede forhold for personopplysninger og hvordan de eksponeres og kan brukes. EU mener derfor det er på tide å oppdatere lovverket. Vi er enige! Og vi vil slå et slag for å rydde litt opp nå i tillegg til å ruste for en stadig mer digitalisert verden og det nye lovverket. 

Fra direktiv til forordning

Mens et direktiv gir rom for fortolkning og  nasjonale tilpasninger, skal den nye personvernforordningen følges slik det står skrevet, likt i alle land. Fra 25. mai 2018 er den gjeldene. Forordningen erstatter gammelt regelverk og som medlem av Schengen og EØS er Norge underlagt denne. 

Hva er personvern?

Personvern handler om retten til et privatliv og til å bestemme over opplysninger om en selv. Dette er blant annet forankret i den Europeiske menneskerettskonvensjonen. I mai 2014 vedtok også det norske Stortinget å legge bestemmelsen inn i den norske grunnlovens §102

Begrepet ”personvern” innebærer å verne individers rett til å ha innflytelse på bruk og spredning av personopplysninger om en selv. Den enkelte skal i størst mulig grad kunne bestemme over egne personopplysninger.

Hva innebærer det for virksomheter?

Det er ledelsens ansvar (daglig leder og styreformann særlig) at virksomheten følger loven generelt. Daglig leder har ansvar for at lovverket knyttet til personvern, og forøvrig også informasjonssikkerhet, følges og at rutiner utformes i tråd med kravene. I tillegg må alle i organisasjonen kjenne til og følge de nye reglene.

Les gjerne vår artikkel om Informasjonssikkerhet og daglig leders ansvar.

Den nye personvernforordningen legger vekt på at virksomheter har oversikt, rutiner og kontroll. Datatilsynet kan komme på besøk og da er de opptatt av at virksomheten har rutiner på plass og at de kan dokumenteres

Det kan være lurt å stille seg blant annet disse spørsmålene:  

- Hvilke personopplysninger behandler vi og hvor er data lagret?

Les vår artikkel "Kontroll på data gir gevinst - også for GDPR"

- Er måten data blir og er tenkt håndtert på iht forordningen?

- Hvordan oppfyller vi rettighetene til de som er registrert hos oss (f.eks. samtykkeerklæringer, retten til å bli glemt)?

- Hvilke rutiner har vi ved sikkerhetsbrudd?

- Hvordan skal vi informere og involvere de ansatte?

- Hvem er ansvarlig for å ha kunnskap om hva som kreves og hvem følger opp (trenger vi eget personvernombud?)

I tillegg vil de antakelig være opptatt av om det jobbes godt og kontinuerlig med generell informasjonssikkerhet sånn at personopplysninger er tilstrekkelig sikret. Har du orden og rutiner, vil eventuell straffeutmåling helt sikkert sees i lys av det, selv om sikkerhetsbrudd eller brudd på loven skulle skje. 

Før vi går videre vil vi bare si at vi i Teknograd jobber med IT og er ikke jurister slik at denne artikkelen må sees i lys av det. Dette er altå ikke nødvendigvis en juridisk korrekt tekst. Vi vet imidlertid mye om hvordan data - også persondata forvaltes av norske bedrifter i dag og jobber hele tiden med å sikre disse på beste måte. Vi jobber selvfølgelig selv for bli GDPR compliant til mai 2018.

Endel av GDPR er arbeidsgiver forhold til og bruk av opplysninger om ansatte. Kjenner du til hva du har lov og ikke lov til når det gjelder innsyn i ansatte e-poster og private filer? Les her.

Vi har allerede et regelverk - hvorfor ikke ta tak i det først?

Før vi går videre og sier noe om hva som er nytt ved GDPR og hva du bør gjøre for å møte de nye reglene, vil vi si at det er på høy tid at man nå blir tvunget til å ta innsamling og behandling av persondata på alvor. Det krever ressurser å sette seg inn nye regler, lage nye rutiner og å lære opp ansatte.  Når det er sagt er det grunn til å minne om at vi har klare regler og bestemmelser innen personvern allerede og ikke alle har alt på stell i forhold til disse. Det er kanskje lurt å begynne her og det kan du starte med i dag - så blir kanskje ikke overgangen til nytt regelverk så stor.

Vi tror det er for slapt mange steder. Forordningen er gode nyheter for den som er registrert og oppført i et register! – uten tvil. For bedrifter vil vi si: se det som noe positivt og benytt anledningen til å rydde opp! (de fleste trenger det)

Hva er nytt?

Her kommer kort oppsummert hva som er nytt og med videre henvisning til Datatilsynets nettsider for utdyping.

Informasjonsplikten skjerpes

Alle som behandler personopplysninger plikter å gi god og forståelig beskrivelse av hva det innebærer for eierne av opplysningene (ofte er det vanlige borgere og man må ”snakke" deretter). Her skjerpes kravene til formen på personvernerklæringen og til brukersamtykke - de skal kunne forstås av alle, også barn hvis det gjelder dem. Man skal også gi mer utfyllende informasjon enn tidligere. Her kan du lese mer informasjon fra Datatilsynet. 

Driver du med digital markedsføring og informasjon (f.eks. Nyhetsbrev) er det viktig å vite endel om samtykker. Les gjerne vår artikkel "GDPR, markedsføring og samtykke

Risikovurdering

Man må ha god oversikt over hvilken risiko man utsetter personer i eget register for og konsekvensene for personvernet dersom opplysninger kommer på avveie. Dette MÅ alle i organisasjonen ha et godt forhold til. Er det stor usikkerhet og risiko forbundet med persondata i virksomheten bør Datatilsynet involveres og løsninger finnes sammen med dem. Her kan du lese mer om hva Datatilsynet sier om saken.

Har du en IT-driftspartner kan du også ta en prat med dem. Mye rundt GDPR handler om informasjonssikkerhet og det er selve grunnfjellet i tjenestetilbuet til en slik partner. 

 Konsultasjon Teknograd

Personvern skal bygges inn i nye løsninger, tiltak eller systemer

Innebygd personvern handler om å ta hensyn til personvern i alle utviklingsfaser av et system eller en løsning og at det skal utarbeides på en personvernvennlig måte. Dette gjelder for eksempel også nye skytjenester eller tjenester fra en IT-leverandør. Snakk med IT-partneren din og ha rutiner for hva dere må tenke på når nye tjenester eller løsninger tas i bruk. 

Her kan du lese mer om hva Datatilsynet sier.

Noen må ha eget personvernombud 

Alle offentlige virksomheter må ha eget personvernombud. Det må også bedrifter som driver en virksomhet som gjør at du overvåker og behandler personopplysninger som en del av kjernevirksomheten (f.eks. kundeklubber, netthandel etc). Regelen gjelder også de som behandler sensitive opplysninger i stort omfang (helsebedrifter f.eks). Vi i Teknograd vil råde dere til å tenke som et personvernombud og ha rutiner som om man har det uansett. Noen må ha ansvaret. 

Datatilsynet sier dette om personvernombud.

De som driver virksomhet utenfor EU er også berørt

Enkelt sagt – de som tilbyr tjenester eller produkter til borgere av EU/EØS området omfattes også av forordningen! Dette gjelder også de som kartlegger EU-/EØSborgernes adferd, som for eksembel gjennom skytjenester mange norske bedrifter benytter i sin markedsføring.

Dersom man driver en virksomhet flere steder innen EU/EØS er hovedregelen at man skal forholde seg til datatilsynsmyndighetene i det landet man har hovedetablering. Dersom det behandles personopplysninger i et annet land enn hovedkontoret, er det dette landet som regnes som hovedetablering i personvernsammenheng. 

Uansett hvilken datatilsynsmyndighet virksomheten forholder seg til, vil i følge Datatilsynetden registrerte alltid kunne klage til datatilsynet i landet der vedkommende bor eller jobber.

Regler for dem som behandler data for din virksomhet

De kalles databehandlere og de behandler data på oppdrag fra en virksomhet. De får nye plikter!! Også disse må ha rutiner for innsamling og bruk av personopplysninger og avvik mv.  En databehandler kan bli stilt økonomisk ansvarlig sammen med oppdragsgiver dersom det er grunn til det. Manglende rutiner kan nok være en slik grunn. En databehandlers underleverandører skal også godkjennes av den som eier dataene (oppdragsgiveren). Men husk – det er oppdragsgiver som har det formelle og endelige ansvaret og må inngå avtaler med selskaper de stoler på kan behandle personopplysningene iht. avtale. Alle databehandleravtaler må gjennomgås og fornyes før innføringen av forordningen. 

En databehandler har plikt til å sørge for informasjonssikkerhet, rapporter avvik og også ha eget personvernombud på lik linje med oppdragsgiver når loven krever det. Se mer om hva Datatilsynet sier om dette. 

Følg bransjenormer

Personvernforordningen oppfordrer til at nettverk eller bransjer går sammen om utformingen av retningslinjer og normer. Veien blir enklere på mange måter. Datatilsynet skal godkjenne en slik norm og ved å bruke en slik vi du raskt komme til mål. En bransjenorm vil ta hensyn til bransjens art og størrelse mm og dermed trenger ikke alle tenke på det samme.  Her er Datatilsynets veileder om dette temaet.

Strengere krav til hvordan du håndterer avvik

Generelt sagt skal man si ifra raskere og oftere enn det man gjør i dag. 

Forordningen stiller krav til når det skal varsles og hva varslet til Datatilsynet skal inneholde – i tillegg til hvem som skal varsles. Hovedregelen er at avvik som skyldes brudd på informasjonssikkerheten skal meldes, både til Datatilsynet og de som er rammet – innen 72 timer er kravet, men er konsekvensene store skal den registrerte informeres "uten ugrunnet opphold". Informasjonsplikten gjelder både avviket og informasjon om hvordan det håndteres.  

Les gjerne mer om hva Datatilsynet sier om å håndtere avvik her.

Borgernes rettigheter må oppfylles

Den enkelte har rett til å kreve at opplysninger en virksomhet har om henne eller ham, slettes eller rettes. Man har ”retten til å bli glemt” og rett til å få innsyn - og man kan kreve å få med seg opplysningene i et filformat som er vanlig å bruke, når man ønsker det. Man har også rett til å motsette seg profilering /markedsføringspåvirkning. For virksomheter er det helt essensielt at man har regler og rutiner for å kunne oppfylle disse rettighetene.

Og husk – behandling av data er alltid basert på at du har et behandlingsgrunnlag (etter loven) eller samtykke i forkant! ( Alle de personopplysningene du besitter ved lovens ikrafttredelse berøres også av dette)  Les fra Datatilsynet her.

Driver du markedsføring eller informasjonsarbeide les gjerne vår artikkel; Les gjerne vår artikkel "GDPR, markedsføring og samtykke" her

Hva bør du gjøre?

Det er bare å komme i gang, det gjelder antakeligvis de fleste av oss.  Datatilsynet har forordningsteksten, men du kan starte med å sikre at virksomheten tilfredsstiller dagens krav. I overgangen til et nytt regelverk må man selvfølgelig sette seg inn i hva det nye regelverket er og enkleste overgang får du antakelig ved å gå via dagens personvernregler. Bruk tiden frem til mai godt for å unngå å havne i en situasjon der du får dårlig tid eller der "alle" skal ut med samtykkeerklæringene sine på samme tid. 

Skaff deg oversikt over hvor data er lagret og bestem hvem som skal ha tilgang til hva

Skaff deg først god oversikt over hvilke data bedriften besitter.  GDPR og det arbeidet som skal gjøres henger tett sammen med den øvrige informasjonssikkerheten og oversikt og kontroll er viktig uansett. Det neste er å klassifisere dataene: Skaff deg oversikt over type data:  personopplysninger og andre data som sensitive opplysninger, hemmelige data, arkivdata og også hva som "det ikke er så farlig med". Dette øker bevisstheten om hvilken verdi virksomheten besitter. Følelsen av å ha ryddet og å ha full oversikt er god!

Når du har kontroll over hvilke data du har og hvor de er, kan du også bestemme hvem som skal ha tilgang til hva. Lag et system for dette. Et godt passordregime hører også hjemme her. Les gjerne vår artikkel om passord og hvor enkelt det kan være.

Lurer du på hvordan du kan få oversikt over dataene dine og styre tilganger, kontakt oss gjerne for en uforpliktende prat. Les gjerne vår artikkel "Tilgangsstyring - for gevinst, sikkerhet og effektivitet" 

Du kan også laste ned vår tabell som gir deg en god oversikt over hvilke lagringsalternativer du har og hva du bør tenke på i den forbindelse. 

Valg av IT-leverandør

Sørg for å oppfylle dagens krav

Vi har, som kjent og nevnt, allerede et regelverk for behandling av personopplysninger, så ta tak i disse og ta en vurdering på om dere har gode nok rutiner for å overholde disse og at organisasjonen kjenner til dem.  Da blir det mye enklere å gå over til nye rutiner – man har godt utgangspunkt for å møte kravene i den nye forordningen.

Bevisstgjør ansatte og sett dem i stand til å følge reglene. Rutiner tilpasset den nye forordningen

Selskapet må lage interne rutiner for å følge de nye reglene. Prøv å gjøre dette positivt vinklet med klare og forståelige krav som sikrer nødvendig motivasjon i organisasjonen. Menneskelig adferd er viktig, både for å opprettholde informasjonssikkerheten og for å oppfylle lovens intensjon. 

Oppdater de rutinene dere eventuelt har og legg en plan for nødvendige endringer. Husk innebygd personvern, dataportabilitet (at man kan ta med seg opplysninger videre til andre) og at man skal kunne dokumentere evnen til å  slette data dersom noen ber om det. 

Her finner du Datatilsynets veileder for internkontroll og informasjonssikkerhet 

Det er den menneskelige adferden som utgjør den største sikkerhetstrusselen i norske bedrifter og dermed faren for at data kommer på avveie eller at man mister oversikten. Gjennom etablering og gjennomgang av rutiner og instrukser og styring av tilgang til data vil du oppnå en økt bevissthet hos de ansatte. Økt kunnskap og økt bevissthet er en forutsetning for endret adferd. Den enkelte må forstå at det må settes krav til bruk av bedriftens datautstyr/mobile enheter, hvor data lagres og hvordan man opptrer på nettet. Dette har med generell informasjonssikkerhet å gjøre - og dermed også tilpasning til den nye loven. Bruk av privat Dropbox for lagring av bedriftens data må f.eks. forbys. 

Lag en avtale med de ansatte som inneholder: 

- hvor data skal lagres og hvorfor

- den enkeltes ansvar for å oppdatere sine digitale enheter (derom det ikke styres sentralt) 

- retningslinjer for privat bruk

passordpolicy

bedriftens innsynsrett

vær varsom regler

rutiner ved opphør av arbeidsforhold 

Det er selvfølgelig viktig at en slik avtale ikke blir "liggende i en skuff", så sørg for at den holdes i live. Det må kontinuerlig jobbes med de ansatte for å opprettholde ønsket adferd. 

Last gjerne ned våre "vær varsom råd" som kan gjennomgås med ansatte. 

New Call-to-action

Velg et personvernombud og avklar ulike roller (selv om loven ikke krever det)

Selv om din bedrift ikke er pliktig etter loven til å ha et personvernombud, kan du tenke som om du har det og følge de forhold som er knyttet til en personvernansvarlig i bedriften. Tydelige roller og ansvar må uansett avklares. Har du en databehandler i form av en IT-partner så inngå avtaler og avklar roller også der.  En personvernansvarlig i bedriften skal være en som er ansvarlig for de interne rutinene og instruksene og det er viktig at det ikke er den samme som behandler data i bedriften. Det er krav til at et personvernombud ikke behandler persondata i jobben sin (den berømte ”bukken og havresekken”).

Den personvernansvarliges oppgaver er blant annet:

- påse at behandling av personopplysninger i bedriften meldes til vedkommende

- oversikt over hvem som er behandlere av persondata

- internkontroll og system for det

- ivareta de registrertes rettigheter

- påpeke brudd 

- gi Datatilsynet opplysninger dersom de ber om det

- holde seg orientert om loven og utviklingen

- være rådgiver internt

Lag tydelige regler for hvordan samtykke skal gis

Forvalter du personopplysninger MÅ du ha samtykke til alt du skal gjøre fra de du har opplysninger om. Driver du f.eks, som mange andre, med datafangst på nettet og bruker du personopplysninger til markedsføring og salg? Bruker du data til å kartlegge folks adferd på nettet, har du en kundeklubb eller nettbutikk? 

Endringer i systemer og rutiner tar tid. Begynn allerede nå! Hva har du av data og hvor er de lagret. Når det gjelder personopplysninger må du i tillegg vite hvor de kommer fra og hvilken rett du har til å bruke dem. Har du ingen samtykke til det eller lov av andre grunner, må du skaffe deg det. Et råd er å begynne tidlig, i mai kommer det til å bli kaos. 

Risikovurdering og -eliminering

En av endringene i loven er at du må vurdere hvor stor risiko det er for at virksomhetens data og i dette tilfellet personopplysninger kan komme på avveier. Det kan skje på mange måter, f.eks pga datakriminalitet, at du har applikasjoner som ikke sikrer data tilfredsstillende eller at bedriftens data lagres i private skytjenester eller at ansatte opptrer uklokt på annet vis. Sett i verk tiltak for å redusere risikoen så godt som mulig. Det kan hende du trenger hjelp til dette. 

Ønsker du å bedre informasjonssikkerheten generelt i bedriften og sikre deg godt i forhold til GDPR? Du er velkommen til å ta en prat med oss. 

Ønsker du å begynne med å lage oversikt over hvilke data dere har og hvor de skal lagres? Noen data kan du selv bestemme hvor skal lagres og andre, blant annet sensitive data og persondata, kan du ikke lagre hvor du vil og la alle få tilgang til. Personopplysningene skal du først og fremst ha kontroll over på et sikkert sted og kun de som trenger det (skal begrunnes) skal ha tilgang. Vi har vi laget en oversikt med ulike lagringsalternativer – i skyen, på server eller et sted midt imellom. 

Lagringsalternativer - hva skal du velge?

 

En blogg fra Teknograd

Teknograd AS er et IT selskap som hver dag jobber for å sikre kundene de riktige IT-løsningene. Vi er lidenskapelig opptatt av at det skal fungere og at det er sikkert. Overlat ansvaret for IT løsningene til oss – så kan du bruke tiden på det du er god på.  Vi har stor tro på at høy kompetanse, god service og gjensidig tillit skaper det beste grunnlaget for et godt samarbeid. 

Få e-post om nye innlegg