10 OM GDPR

...og alle bedrifter i Norge må forholde seg til denne på en eller annen måte. Dette gjelder særlig om virksomheten har, eller behandler mye personsensitive data. Her er 10 tips og spørsmål som bør vurderes på veien.

1. Identifiser data
Få en tydelig oversikt over hvilke personopplysninger dere behandler. Hva regnes som personsensitive data? Hvor er de? Hvorfor har vi de? Hvor sikre er de?

2. Økt krav til rapportering og dokumentasjon
GDPR krever i en helt annen grad enn tidligere at virksomheter demonstrerer (og i de fleste tilfeller dokumenterer) hvordan man etterlever prinsippene for personvern.

3. Trenger vi et personvernombud?
Datatilsynet oppfordrer alle bedrifter til å ha et personvernombud, men i endel tilfeller kan det være greit å leie det inn som en tjeneste istedet. Uansett er det smart å sette seg inn i hva som kreves av virksomheten og av personvernombudet.

4. Risiko og personvernkonsekvenser
Der tiltak og prosesser kan utgjøre en stor risiko for personvernet, skal virksomheten også utrede konsekvens og risiko fra brukerens ståsted i en såkalt personvernkonsekvensutredning eller DPIA (Data Protection Impact Assessment).

5. Kommuniser med ledelse og ansatte
Samsvar med kravene i forordningen er ikke et prosjekt for IT-avdelingen alene. Hele organisasjonen trenger å være innvolvert: Ledelsen må sørge for å få til gode rutiner for å overholde de nye kravene. Alle ansatte må følge de nye rutinene når reglene trer i kraft, og hele dette arbeidet skal gjennomgå en kontinuerlig forbedring.

6. Individets rettigheter
blir betydelig styrket gjennom GDPR, og inkluderer blant annet:

• Retten til å bli glemt (altså strøket fra alle virksomhetens registre)
• Dataportabilitet (flytting av personopplysninger fra en leverandør til en annen)
• Motsette seg direkte rettet profilering og markedsføring

Sørg for å ha gode rutiner som kan møte disse kravene på en tilfredsstillende måte.

7. Plan for databrudd og hendelser
Forordningen stiller strengere krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Alvorlige hendelser skal i utgangspunktet varsles innen 72 timer til Datatilsynet. Sørg for å ha gode og dokumenterte rutiner for avvik.

8. Hva er deres personvernerklæring?
Informasjon om hvordan virksomheten behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning.

9. Reglene gjelder også virksomheter utenfor Europa
Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer, tjenester eller kartlegger atferd til borgere i EU- eller EØS-land.

10. Dokumenter samsvar og etterlevelse
Å utforme gode regler og rutiner er viktig, men gjør ikke jobben alene. Om de ikke følges, skaper de heller ikke sikkerhet. GDPR krever at vi også tester og vurderer virkningen av disse tiltakene. Det holder ikke å vise frem gode rutiner og systemer. Endret atferd og virksomhetens sikkerhetskultur må også testes og vurderes.

MERK: Dette er ingen fullstendig liste for samsvar med GDPR, men en inspirasjon for å komme igang, eller forstå litt bedre hva dere trenger å huske på underveis. Ta gjerne kontakt med oss for et bedre bilde av hva din virksomhet trenger før mai 2018.