GDPR: Sett bedriftens håndtering av personopplysninger i system

GDPR, EUs personvernforordning, er kjent stoff for de fleste bedrifter. Men noen strever fortsatt med å finne ut av reglene og hvordan de skal følges. Her finner du en veiledning til hva du, som bedrift, må gjøre for å oppfylle kravene i GDPR. 

Det første bedriften må gjøre for å leve opp til kravene i personvernlovgivningen, er å få en oversikt over hvilke personopplysninger bedriften håndterer. Den største utfordringen ved personvernlovgivningen er at bedriften i de fleste tilfeller må kunne redegjøre for hvilke data de håndterer, og hvilke medarbeidere som har tilgang til disse. Deretter der det viktig at bedriften utarbeider klare retningslinjer, prinsipper og prosesser for håndtering av data.

 

Head of Security hos e-Boks i Danmark, Frank Bødtker Madsen, anbefaler at bedrifter følger disse fem trinnene:

 

1. Kartlegg bedriftens data
Det vil si: Hvilke data oppbevarer dere (ikke-følsomme eller følsomme)? Hvor eller hvordan oppbevarer dere data? Hvem i bedriften har tilgang til data? Og hvordan distribueres data internt og eksternt (sikre eller ikke-sikre kanaler)?

 

2. Behold bare opplysninger som kan benyttes til et konkret og legitimt formål
Ikke lagre mer informasjon enn nødvendig, og slett data som ikke brukes. Spør dere selv om hvorfor dere har lagret de dataene dere har. Er det nødvendig for bedriftens drift og funksjon, eller samler dere inn store mengder data uten noe bestemt mål eller behov? Det er svært viktig at dere ikke lagrer eller behandler overflødige eller utdaterte data.

 

3. Få kontroll på sikkerheten
Sørg for at dere implementerer et sikkerhetssystem som sikrer tilstrekkelig beskyttelse mot sikkerhetsbrudd, og ulovlig behandling. Dette omfatter også opplysning og opplæring av bedriftens medarbeidere, da mange sikkerhetsbrudd skyldes uhell eller uvitenhet.

 

4. Få kontroll på bedriftens behandlingsgrunnlag
I tillegg til et legitimt og konkret formål for behandling av dataene skal bedriften også kunne dokumentere et behandlingsgrunnlag. Dette kan f.eks. være et samtykke fra den registrerte eller en kontrakt.

 

5. Ta ansvar for brukernes rettigheter
Det er bedriftens ansvar å sikre at opplysningene om behandlingen er lett tilgjengelige for brukeren. Sørg for at en lettlest og oversiktlig personvernretningslinje eller lignende er gjort offentlig tilgjengelig. Hvis dere ber brukerne om å sende inn eller svare på henvendelser med følsomt innhold, skal det stilles en GDPR-kompatibel kanal til rådighet til mottakeren, slik at de kan sende svaret via denne. En kanal som f.eks. e-Boks.

 

I tillegg skal bedriften gjøres klar til å kunne besvare forespørsler fra individuelle brukere. For eksempel:

  • Hvordan håndterer dere det hvis en person ønsker å få dataene sine slettet?
  • Hva skal til for at dere kan innhente samtykke på lovlig vis?
  • Hva gjør dere ved et eventuelt databrudd?
  • Kan dere innhente og utlevere opplysninger om en individuell bruker og levere dem via en sikker kanal?

Gjør e-Boks til løsningen

e-Boks tilbyr en sikker og samlet kanal som overholder kravene i EU-forordningen om sikkerhet og personvern. Når en bedrift benytter e-Boks til utsending av følsomt innhold og kommunikasjon med sine brukere, kan bedriften være sikker på:

  • At all kommunikasjon og utsendelse av dokumenter er beskyttet, bl.a. med kryptering
  • At pålitelig teknologi brukes til å validere identiteten til en bruker. F.eks. at personen som eventuelt ber om innsyn i dataene sine, faktisk er den personen som han/hun utgir seg for å være
  • At kun tilsiktet mottaker får adgang til utsendte opplysninger – Ikke engang e-Boks har tilgang til brukernes dokumenter
  • At overføring/sending av opplysninger, uansett type og følsomhet, oppfyller gjeldende krav fra EUs personvernforordning (GDPR)

 Ønsker du å vite mer om hvordan e-Boks kan sikre bedriftens data, slik at dere kan oppfylle kravene i GDPR? Les mer.

Ta kontakt med e-Boks her for en uforpliktende samtale om de mulighetene dere har.