Fra 25. mai skal de nye personvernreglene gjelde i hele EU. I Norge er planen at de skal gjøres gjeldene fra 1. jul. 

Foto

Dreamstime

GDPR

Fem svar på fem ofte stilte spørsmål om personvernregler

Publisert: 14. mai 2018 kl 09.48
Oppdatert: 14. mai 2018 kl 10.51

Landets fremste eksperter på personvern slår gang på gang alarm: Norske bedrifter har ikke peiling på hvor lenge de kan oppbevare informasjon eller når den skal slettes.

Fra 1. juli skal de nye reglene etter planen gjelde i Norge. Datatilsynet sier at de vil være i full sving med å håndheve den nye personvernforordningen etter sommerferien. Bøter kan true virksomheter som ikke har innordnet seg.

Trend Micro Incorporated er et globalt konsulentselskap som jobber med sikkerhetsløsninger for IKT. De har identifisert fem «ofte stilte spørsmål» om GDPR – og gitt sitt svar på dem:

Kommer jeg til å få bot hvis jeg ikke er klar til 1. juli?

Nei. Selv om Datatilsynet sier de vil være i full sving med å håndheve den nye loven fra etter sommerferien, så er det lite sannsynlig at de vil «svinge med pisken» ved første anledning. Samtidig er det fare for at organisasjoner som ikke har gjort noen forsøk på å tilpasse seg etter at den nye loven er på plass, vil stå i fare for en eller annen form for reaksjon. Spesielt hvis det gjelder dårlig håndtering av sensitive personopplysninger.

Er det for sent å tilpasse seg til GDPR nå?

Definitivt ikke. Personvernforordningen er en pågående prosess som vil forandre seg og utvikle seg over tid. Det betyr at du har tid, selv om du starter nå. Det viktigste er å komme i gang med en plan og at du har satt i gang konkrete tiltak i henhold til den nye forordningen. Du bør få på plass et team som har fått i oppgave å håndtere GDPR på en kontinuerlig måte.

Saken fortsetter under annonsen

Hvor starter jeg? 

Det er noen få praktiske skritt du kan ta for å komme I gang. Først og fremst må du forstå hvilke data du har, hvorfor du har akkurat disse dataene og hvor de lagres. Finn ut hvordan dataene flyter inn og ut av organisasjonen og skaff deg oversikt over hvilke ansatte som har tilgang til hvilke data. Deretter er det viktig å utføre en datarevisjon, der du klassifiserer dataene i henhold til den risikoen det utgjør.

Så bør du kartlegge sikkerhetskontroller og prosesser til dataene for å redusere risikoen. GDPR bygger på tidligere europeiske forordninger, så overholder du allerede disse, har du kommet langt på vei.

Jeg har bedt om samtykke på e-post. Holder det?

Det er ett steg i riktig retning, men dessverre ikke nok. Den nye personvernforordningen handler om mye mer enn å få et ettertrykkelig samtykke fra kunder til å sende ut et nyhetsbrev eller på andre måter bruke personinformasjonen man har innhentet.

GDPR handler i større grad om databeskyttelse og -ansvarlighet. Det vil si at du lagrer og behandler dataene du har opparbeidet deg på en sikker, forsvarlig og kompatibel måte. Det handler også om at du du har rett til å beholde dataene til en kunde, hvis du er pålagt å gjøre det av hensyn til regnskapet, garantiordninger, reklamasjon eller av andre lovmessige årsaker, selv om en kunde skulle kreve å bli glemt eller slettet.

Dataminimering, altså at du ikke skal ta vare på mer data enn du strengt tatt trenger og ikke lengre enn du trenger det, er et hovedprinsipp for reguleringen, men vær bevisst på hvor grensene går.

Saken fortsetter under annonsen

Hva med mine leverandører og samarbeidspartnere?

Det enkle prinsippet er at du har ansvaret, uavhengig av hvilke underleverandører og samarbeidspartnere du benytter deg av. Ifølge KMPG har kun 1 av 10 globale selskaper kontrollert om deres leverandører er i samsvar med den nye personvernforordningen. Dagens komplekse økosystem bestående av skytjenester, tredjepartsaktører, underleverandører og partnere, gjør dette arbeidet spesielt utfordrende.
 

GDPR – EUs nye personvernlov

Den nye personloven GDPR (General Data Protection Regulation) ble vedtatt av EU i 2016.

Forordningen gjelder også Norge som EØS-land. Alle virksomheter som samler inn eller bruker personopplysninger om EU/EØS-borgere må fra 25. mai 2018 følge de nye reglene. I Norge har man utsatt innføringen av de nye reglene fram til juli.

De viktigste endringene er:

  • Bedrifter og virksomheter får et større ansvar for å ivareta personvernet til kunder og brukere.

  • Borgere får rett til å motsette seg noen typer profilering, der personopplysninger blir brukt til å analysere og forutse atferd.

  • Det stilles strengere krav til forståelig språk og åpenhet om virksomhetens behandling av personopplysninger.

  • Alle bedrifter og virksomheter blir lovpålagt å bygge inn personvern inn i alle applikasjoner.

  • Tydeligere retningslinjer for når bedriftene kan bruke personopplysninger til andre formål enn det de ble samlet inn for.

  • Borgere får rett til å ta med seg data fra en virksomhet til en annen, såkalt dataportabilitet.

  • Reglene gjelder også for virksomheter utenfor Europa som tilbyr varer og tjenester til EU/EØS-borgere eller overvåker atferden til europeiske borgere til bruk for profilering.

  • Alle offentlige virksomheter, samt private virksomheter som behandler sensitive personopplysninger i stor skala eller som systematisk overvåker europeiske borgere i stor skala, vil bli pålagt å opprette egne personvernombud.

  • Nasjonale datatilsyn plikter å samarbeide om konkrete saker og å utveksle informasjon med hverandre.

Kilde: Datatilsynet