13-03-18

25. mai 2018, innføres EUs nye personvernregler, General Data Protection Regulation (GDPR), i Norge.

Dette stiller nye krav til hvordan din bedrift håndterer personopplysninger – uavhengig av størrelse eller bransje. Er du ikke compliant risikerer du bøter på opptil 20 millioner euro eller fire prosent av årlig omsetning.

e-Boks’ løsninger er tilpasset det nye regelverket og sikrer at alle dokumenter, enten det gjelder kontrakter, helseinformasjon eller annen personlig informasjon, trygt kan sendes. All kommunikasjon mellom sender og mottaker i e-Boks krypteres, noe som hindrer innsyn fra uautoriserte tredjeparter.

Med e-Boks møter du kravene. Ønsker du tips til hvordan din bedrift kan bli best på personvern bør du lese videre under. 

 

 

1. Finn ut hvilke personopplysninger dere håndterer.
I sin enkleste form er personopplysninger en opplysning eller vurdering som kan knyttes til enkeltpersoner. Det være seg en kunde eller en ansatt. 
Personopplysninger inkluderer derfor navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning), fødselsnummer (både fødselsdato og personnummer), og atferdsmønstre. Atferdsmønstre igjen inkluderer rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, rulleblad, tidligere helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

Å kartlegge hva slags personopplysninger bedriften behandler er et avgjørende første steg i arbeidet med å tilfredsstille de nye kravene.

2. Har du rett til å behandle disse personopplysningene?
Neste steg blir å kartlegge bedriftens rettslige grunnlag for å behandle og bruke disse opplysningene. Som hovedregelen skal det alltid innhentes samtykke fra enkeltpersonene det gjelder. Et eksempel på en slik samtykkeerklæring er at man «godtar bedriftens bruk av cookies» når man besøker en nettside.

Det betyr likevel ikke at all bruk av personopplysninger krever samtykkeerklæring, slik som er tilfellet hvis bedriften har «nødvendig grunn» til å ha denne informasjonen.  Et eksempel på en slik grunn er å oppfylle en avtale med den registrerte. Sjekk dette før dere bruker ressurser på innhenting av samtykke.

Husk at personer har rett til å trekke tilbake et samtykke.

3. Gjennomfør en risikovurdering.
Når bedriften har kartlagt hvilke opplysninger man sitter på, og hvor vidt man har rett til det, må man gjennomføre en risikovurdering. Hva skjer dersom personopplysninger kommer på avveie, hva kan gå galt og hvilke konsekvenser har det for enkeltpersonen og for bedriften? Når man har kartlagt risikoen kan man også iverksette tiltak for å minimere denne trusselen.

4. Tilrettelegg for de registrertes rettigheter.
Gis informasjon på et tilpasset språk? Er rutinene for innhenting av samtykke gode nok? Ivaretas retten til innsyn, retting, sletting og sperring?

5. Deleger ansvar.
Hvem har ansvaret internt? Hvem skal sørge for at bedriften møter kravene? Hvis man ikke dedikerer tid til dette arbeidet kan man heller ikke forvente at man imøtekommer kravene.

6. Trenger dere å opprette personvernombud?
Her er stikkordet bedrifter som håndterer personopplysninger i stor skala, samt offentlig myndighet og organ. Eksempler på aktører som ikke vil komme inn under begrepet stor skala er fastleger eller advokater som kun behandler opplysninger for et begrenset antall pasienter eller kunder.

7. Ta en opprydning.
Gå gjennom persondata dere har lagret. Slett det dere ikke lenger har behov for eller har rettslig grunnlag til å bruke.

8. Dokumenter.
Din bedrift må kunne redegjøre for hvilke personopplysninger dere behandler, hvor de er lagret, hvorfor og hvordan dere bruker dem, samt gjennomført en risikovurdering. 

Les mer om hvordan man kan bli compliant i vår gratis e-bok