Du har kanskje hørt det nye buzz-ordet GDPR og lest skremselspropaganda både her og der om de nye personvernreglene, men hva betyr dette egentlig og hva bør du gjøre i bedriften din?

GDPR – kort fortalt

GDPR (General Data Protection Regulation) er EU sin nye lov om hvordan bedrifter skal håndtere og lagre personopplysninger. EU har bestemt at den skal gjelde likt i alle EU-land og styrker enkeltpersoners kontroll over «sine» data.

Som EØS-medlem har Norge også vedtatt å innføre GDPR. Vi har allerede strenge lover og forskrifter som regulerer personvernet i Norge, men GDPR fører likevel til noen endringer som alle bedrifter må forholde seg til.

Fristen for å innføre GDPR i din bedrift er mai 2018.

I praksis betyr GDPR at du må dokumentere hvilke personopplysninger du lagrer om hvem, hvor du lagrer dem og at sikkerheten er ivaretatt og samtykker innhentet. Deretter må du kunne fortelle en gitt person hvilke opplysninger du har lagret og dersom vedkommende ønsker dem slettet må du kunne dokumentere at det er gjort.

Konsekvenser for bedrifter

Skal bedriften din ha alt på stell må du altså ha en plan, gjøre noen øvelser, dokumentere rutiner og få på plass riktig avtaleverk – i de fleste tilfeller både med kunder og leverandører.

Det er viktig å understreke at det selvsagt også i fortsettelsen skal være lov å lagre personopplysninger, det er ikke det dette handler om, du må bare være klar på hvordan du håndterer dem.

Hva er så personopplysninger?

En personopplysning er noe som kan knyttes til en enkeltperson, for eksempel navn, adresse, personnummer, telefonnummer, e-post adresse, ip-adresse, bilnummer, bilder, fingeravtrykk etc.

Opplysninger om atferdsmønstre er også regnet som personopplysninger. Hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag og hva du søker etter på nettet er alt sammen personopplysninger.

Noen personopplysninger regnes også som sensitive og det stilles spesielle krav til lagring av disse, blant annet at de skal lagres kryptert. Sensitive personopplysninger er opplysninger om rase eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold (for eksempel allergier), seksuelle forhold eller om en person har medlemskap i fagforening.

Tips til hva du bør gjøre

Om du lagrer opplysninger som beskrevet ovenfor må du altså forholde deg til GDPR. Bli med videre, så skal du få noen tips til hva du bør gjøre.

Hva bør din bedrift gjøre?

I Appex har vi delt arbeidet med å møte kravene i GDPR inn i fire hoveddeler – og vi tror dette vil fungere for de fleste bedrifter:

  1. Kartlegging
  2. De registrertes rettigheter
  3. Teknisk datasikkerhet
  4. Ledelsens ansvar

Vi deler selvsagt villig vekk og i det følgende skal du få en beskrivelse av hver del med tips til hva du kan gjøre i din bedrift.

1. Kartlegging

Alle bedrifter må skaffe oversikt over hvilke personopplysninger som er lagret hos bedriften. I dette arbeidet kan du stille følgende spørsmål:

  • Hvilke personvernopplysninger oppbevarer vi?
  • Hvordan samles opplysningene inn?
  • Hva brukes personopplysningene til (hensikten/formålet)?
  • Har vi rettslige grunnlag for å oppbevare personopplysninger som ikke krever samtykke?
  • Hvor oppbevares personopplysningene fysisk?
  • Hvem har tilgang til opplysningene?
  • Kan vi si noe om hvor lenge vi tenker å beholde opplysningene?

Svarene her må dokumenteres og kunne fremvises når bedriften får spørsmål fra kunder, leverandører eller myndigheter. I forbindelse med kartleggingen kan det også være lurt å rydde og slette alle personopplysninger du ikke trenger eller ikke har lov/samtykke til å ha.

2. De registrertes rettigheter

Grunnregelen i GDPR er at man skal ha samtykke fra den registrerte for å lagre personopplysninger. Dette gjelder imidlertid ikke dersom det åpenbart er nødvendig å lagre opplysningene for å oppfylle forholdet.

Det betyr at det for eksempel ikke er nødvendig med samtykke for å lagre navn og adresse til kunder. Uten disse opplysningene kunne ikke kundeforholdet eksistert, det hadde ikke vært mulig å sende faktura. Men det betyr også at du aktivt må be om tillatelse til å lagre e-post adressen til kundene for å for eksempel bruke den til å sende reklame på e-post. Det er ikke strengt nødvendig.

Utover dette har den registrerte følgende rettigheter:

  • Kunne få vite hvilke opplysninger som er lagret om seg og hvordan disse er innhentet
  • Kunne få endret opplysninger som er feil
  • Kunne få slettet alle opplysninger som er lagret
  • Kunne få vite hvordan personopplysninger lagres og behandles i bedriften

På oppfordring må du kunne svare for ovenstående og dokumentere at du har lagt til rette for utlevering, endring og sletting av opplysninger.

3. Teknisk datasikkerhet

I følge GDPR skal alle bedrifter sørge for å ha skikkelige og dokumenterte rutiner for datasikkerhet. Du skal sikre at de lagrede opplysninger ikke kommer på avveie, blir feilaktig slettet eller kan nås gjennom uautorisert tilgang eller datainnbrudd.

Om bedriften din selv er ansvarlig for driften av datasystemene bør du derfor sørge for at du har grunnleggende sikkerhetsrutiner i orden, herunder tilgangskontroll, infrastruktur, oppdatering av programvare, brannmurer, tiltak mot eventuelle sosiale/kulturelle farer og liknende. Lagrer du sensitive data bør du også gjennomføre en risiko- og sårbarhetsanalyse.

Har du satt ut driften av datasystemene til en eller flere leverandører definerer GDPR bedriften din som dataansvarlig og leverandøren som databehandler.

I slike tilfeller skal det signeres en databehandleravtale mellom partene som regulerer forholdet og setter krav til leverandøren. Denne avtalen kan du legge ved din dokumentasjon slik at GDPR oppfylles fra din side.

Har du satt ut driften av datasystemene til Appex er du i gode hender. Vi har ting på stell og er allerede i gang med å signere databehandleravtaler med våre kunder som benytter Appex Cloud.

4. Ledelsens ansvar

GDPR stiller konkrete krav til ledelsen og alle bedrifter må utarbeide en personvernserklæring og dokumentere sitt personvernsystem. Personvernerklæringen kan inneholde relevante punkter som:

  • Hva slags persondata som lagres i bedriften med fokus på de registrertes rettigheter
  • Redegjøre for at behandling av opplysninger i størst mulig grad er basert på samtykke
  • Redegjøre for og ha fokus på datasikkerhet i egne IT-systemer samt sette krav til eksterne databehandlere
  • Redegjøre for risikoanalyser av eksisterende rutiner og konsekvensanalyser ved nye behandlingsformer
  • Beskrive hvordan man gjennomfører avviksregistrering og varsling i bedriften
  • Beskrive jevnlige revisjoner av kritiske rutiner

Ledelsen bør også dokumentere hvordan rutiner er understøttet av ledelses prosesser i et Internkontroll- eller HMS/Kvalitets-system og ha dokumenterte rutiner for:

  • Risikoanalyser, hvor man gjennomgår eksisterende rutiner for behandling av personopplysninger for å redusere risikoen for sikkerhetsbrudd.
  • Konsekvensanalyser, hvor man redegjør for hvordan planlagte tiltak som utgjør en stor risiko for hvordan personvernet håndteres.
  • Avviksbehandling, hvor man redegjør for håndteringen av sikkerhetsbrudd. Med GDPR blir reglene for håndtering av sikkerhetsbrudd strengere. Alle sikkerhetsbrudd skal meldes til Datatilsynet innen 72 timer. Brudd på personvernet skal også i en del tilfeller meldes direkte til de registrerte.
  • Interne og eksterne revisjoner, hvor bedriften jevnlig går gjennom kritiske interne rutiner (interne audits) og eventuelt gjennomgår kritiske driftsrutiner hos eksterne leverandører (eksterne audits).

Noen bedrifter er også pålagt å ha et eget Personvernombud for å håndtere GDPR. Dette gjelder offentlige virksomheter (med unntak av domstolene) og virksomheter hvor kjerneaktiviteten består i å regelmessig og systematisk overvåke personer i stort omfang eller behandle sensitive personopplysninger i stort omfang.

Navn og kontaktinformasjon til bedriftens eventuelle Personvernombud (PVO) skal offentliggjøres og meddeles til Datatilsynet.

Phew, mye greier!

Ja, for noen blir GDPR mye å ta tak i, men som sagt – for de aller fleste bedrifter handler det om å gjøre noen øvelser, dokumentere rutiner og få på plass riktig avtaleverk. Du må bruke noe tid på dette før mai 2018 om du skal ha alt i orden – og det er bedre å starte tidlig.

…og skulle du få myndighetene på nakken

EU har vedtatt at alvorlige brudd på GDPR kan føre til store bøter. Dette har fått en del oppmerksomhet i media og ført til en del skremselspropaganda. Vi tror ikke det blir så galt, men det er selvsagt noen registrerte som vil teste opplegget fra mai neste år og be om utlevering av opplysninger og deretter be om å bli slettet og sjekke at det faktisk skjer.

Noen bedrifter vil også få bøter, det skal jo settes presedens, og det er nærliggende å tenke seg at de store bedriftene er mest utsatt.

Stor eller liten, det er ingen grunn til å ikke ha alt i orden – og det er enklere enn du tror. I Norge er det Datatilsynet som håndhever GDPR og du finner både veiledere og mer informasjon på datatilsynet.no

Lykke til!

Kilder: datatilsynet.no, eugdpr.org og consolid.no

Tore Fremmersvik
Daglig leder
Telefon 982 17 647

Tore Solberg
Leder Operations
Telefon 982 17 645

Ønsker du å vite mer om GDPR?
Skriv inn din e-post adresse og vi tar kontakt.