Det som for mange virksomheter før var helt vanlige arbeidsprosedyrer, vil nå med GDPR være usikkert og ulovlig.

Her kan du lese om tre fallgruver du skal være klar over – og hva du kan gjøre med dem.

 

1. Dere sender arbeidsavtaler og andre personlige dokumenter via ubeskyttede e-postkontoer

Hvorfor?

Arbeidsavtaler og andre personlige dokumenter inneholder ofte fødselsnummer og andre fortrolige personopplysninger.

Datatilsynet har skjerpe inn kravet om beskyttelse av fortrolige og følsomme opplysninger som sendes per e-post. Det betyr blant annet at e-poster som inneholder fortrolige personopplysninger, som f.eks. fødselsnummer og helseopplysninger samt forhold rundt lønn, ansettelse og familie, skal krypteres. Et av grunnprinsippene i personvernlovgivningen er kravet om tilstrekkelig sikkerhet ved behandling av personopplysninger. Dersom virksomheter og organisasjoner ikke følger kravet, kan dette føre til økonomiske sanksjoner.

Hva kan jeg gjøre?

Virksomheten din skal sikre at dere har et sikkert system for å sende denne typen dokumenter. Dere kan bruke et verktøy som krypterer innholdet i e-poster, eller dere kan sende ut dokumentene via en sikret plattform, f.eks. e-Boks. Ved å bruke en sikker plattform er det samtidig enkelt for mottakerne å returnere fortrolige dokumenter uten bruk av usikre kanaler.

 

2. Dere samler inn opplysninger via en usikker kanal

Hvorfor?

Ofte ser man at virksomheter ikke får utnyttet funksjonene i de systemene de allerede har, og i stedet bruker ekstra tjenester for spesifikke formål. Det gjelder f.eks. ved innsamling av opplysninger via spørreskjemaer osv. Jo flere forskjellige systemer man bruker, desto større risiko er det for at man sprer opplysningene sine slik at man ikke har kontroll på dem, og at man dermed får en usikker løsning.

Hva kan jeg gjøre?

Begrens antallet systemer dere bruker til å samle inn og behandle personopplysninger. Det gjør det mer oversiktlig å administrere personopplysninger og reduserer antallet grensesnitt og overføringer mellom forskjellige systemer. Undersøk hvilke funksjoner som er tilgjengelige i de løsningene som dere allerede bruker og stoler på. e-Boks støtter sikker dialog og gjør det mulig å samle inn opplysninger fra brukerne ved hjelp av spørreskjemaer.

 

3. Dere bruker opplysninger som er samlet inn for ett formål, til et helt annet formål

Hvorfor?

Dere kan ha samlet inn tilbakemeldinger i et system eller en hjemmeside hvor kundene har oppgitt personopplysninger sammen med tilbakemeldingene. Hvis disse opplysningene oppbevares og senere brukes til et nytt formål – f.eks. til markedsføring – er det nødvendig å hente inn et spesifikt samtykke for begge formålene.

Hva kan dere gjøre?

Hvis personopplysningene behandles på grunnlag av et samtykke, gjelder samtykket kun for det eller de spesifikke formålene det ble opplyst om da samtykket ble hentet inn. Dere kan derfor med fordel be om samtykke til de formålene dere vet at opplysningene skal brukes for.

Det gjelder en rekke strenge krav for om et samtykke er gyldig. Brukeren skal bl.a. ha det klart for seg hvilke opplysninger som behandles, og hvilket formål samtykke gjelder for. Samtidig har brukeren alltid rett til å trekke tilbake samtykket sitt. Dessuten skal brukeren aktivt avgi samtykke ved f.eks. å krysse av i en boks eller trykke på en knapp. Et samtykke er ikke gyldig om brukeren ikke krysser av for dette selv, eller hvis det hentes inn samtykke til flere uforenelige formål med ett og samme samtykke.

Hvis man bruker e-Boks til å registrere samtykke, oppfyller man en rekke av kravene som stilles til samtykkene. Man er sikker på identiteten til brukeren og både tidspunktet og innholdet i samtykket blir dokumentert. På den måten har man enkel tilgang til å be brukeren om respektive samtykker til forskjellige formål på én gang.

Husk dessuten å alltid være klar til å hjelpe brukerne med å innfri rettighetene deres. De kan når som helst kreve å trekke tilbake et samtykke. Samtidig har brukeren rett til å se nøyaktig hvilke opplysninger og behandlere dere har gjennomført om brukeren, og ikke minst har brukeren rett til å få slette opplysningene sine hos dere.

 

Hvis du vil vite mer om hvordan du kan bruke e-Boks for å unngå disse feilene, kan du kontakte e-Boks her.