GDPR

Her finner du alt om vår fem-stegs-modell for å bli GDPR Compliant.

GDPR Hva er GDPR?

Nye personvernregler fra 25. mai 2018
Livet vårt har blitt heldigitalt. Hva man surfer på, kjøper, liker og ikke liker, deler og mener, blir av mange aktører nøye analysert og lagret. Persondata har fått stor verdi. Enten det er i jobb eller som privatperson, fom. mai er det individet selv som har eierskap til sine data, og de som lagrer kan når som helst måtte svare for hva man vet, hvordan data benyttes, hvorfor – og ikke minst måtte slette de på oppfordring. Og nei, dette gjelder ikke bare bedrifter som jobber med IT eller driver netthandel, dette gjelder alle bransjer.

Den nye personvernsforordningen (GDPR) er en EU-forordning som Norge må følge. Målet er å styrke rettighetene til forbrukerne, og å gjøre det forutsigbart å drive næringsvirksomhet.

Alle virksomheter får nye plikter
Man må sette seg inn i ny lovgivning og avklare hvilke regler som gjelder, og ledelsen må sørge for rutiner som overholder disse. Alle ansatte må følge nye rutiner når forordning trer i kraft.

Alle virksomheter skal ha en forståelig personvern­erklæring
Informasjon om hvordan din virksom­het behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte.

Alle virksomheter skal vurdere risiko og personvernkonsekvenser
Dersom et tiltak eller en aktivitet utgjør en risiko for personvernet, må virksomheten utrede hvilke personvernkonse­kvenser det kan ha.

Alle virksomheter skal bygge personvern inn i nye løsninger
Det stilles krav til at nye systemer (IT og andre støttesystemer) utarbeides på en mest mulig personvernvennlig måte – innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.

Virksomheter må opprette personvernombud
Det skal opprettes et personvern­ombud, en person som er virksomhetens «ekspert» og bindeledd mellom ledelsen og de registrerte. Ombudet kan være en ansatt eller en profesjonell tredjepart.

Alle virksomheter får krav til avvikshåndtering
Det må implementeres regler for håndtering av sikkerhets­brudd. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles.

Alle må kunne oppfylle enkeltindividets nye rettigheter
Den enkelte har rett til å kreve at hans/hennes personopplysninger blir slettet – «retten til å bli glemt». Man kan også kreve å få med egne personopplysninger fra en leverandør til en annen – «data­ portabilitet». De kan også motsette seg alle typer direkte markedsføring. Alle henvendelser fra de som begjærer innsyn må besvares innen én måned.

Hva må virksomheten gjøre innen 25. mai 2018?

1. Få oversikt over hvilke personopplysninger dere behandler
Alle virksomheter har, benytter eller samler inn personopplysninger. Få oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hvorfor det er relevant at dere sitter på disse. Det kan være informasjon om ansatte, kunder, leverandører, samarbeidspartnere osv. Her snakker vi om informasjon rundt kjøpshistorikk, bosted, mailadresser, bilder, e-post historikk, telefonnummer, IP-adresser, preferanser osv. Alle opplysninger du har som kan knyttes direkte til en enkeltperson.

2. Oppfyller du dagens lovkrav?
Overgangen til de nye reglene blir lettere om dagens krav til personopplysningsloven etterleves. Eksisterer det gode rutiner for internkontroll som er kjent i organisasjonen, er det lettere å få oversikt over hva som må endres til nytt regelverk.

3. Sett dere inn i det nye regelverket
Hele den nye forordningen finnes på Datatilsynets nettsider.

4. Lag rutiner for å følge de nye reglene
Gå gjennom dagens rutiner for behandling av personopplysninger. Oppdater etter nytt regelverk der det trengs. Dokumenter nye rutiner og legg en plan for nødvendige endringer. Sjekk at systemene er laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standard innstilling. Sørg også for at dere klarer å fange opp og besvare henvendelser fra de som ber om innsyn innen én måned.

Fase 1 ORGANISERING

Det viktigste i fase 1 er å etablere en forankring i ledelsen og en bevisstgjøring rundt hva GDPR innebærer for virksomheten. Du må sett deg inn i og forstå hvilke krav som er relevante for deg og din bransje. Deretter må gjennomføringen av hele prosjektet forberedes og oppgaver delegeres i en planlagt organisering og struktur.


Fase 2 KARTLEGGING

Fase 2 skal sørge for at du får en oversikt over hvilke data som lagres, hvorfor og hvor. Hvilke IT-systemer er det virksomheten benytter seg av, både internt og eksternt, og hvordan behandler disse systemene personopplysninger. Vær oppmerksom på at personopplysninger ikke bare gjelder det som er lagret digitalt, det er også all annen dokumentasjon i arkiver som inneholder personopplysninger. Disse skal også føres opp og sikres.


Fase 3 «GAP-ANALYSE»

En eventuell fase 3 vil være en «samsvarsanalyse». Hvor du står i dag basert på fase 1 og 2, og hvor stor er avstanden frem til en vellykket gjennomføring i fase 5 – altså hvordan vi skal komme dit. En GAP-analyse er primært for større selskap, men også mindre virksomheter kan ha såpass omfattende systemer og personopplysninger at en slik prosess er nødvendig. Dette er fasen hvor du eventuelt kobler på ekstern hjelp.


Fase 4 HANDLINGSPLAN

Hvem gjør hva, når?

Handlingsplanen definerer konkrete aktiviteter (mål) under hvert innsatsområde som er avdekket, hvem som har ansvaret og når det skal være gjennomført og med hvilket resultat.


Fase 5 GJENNOMFØRING

Iverksettelse

Vi vet nå hvilke krav som er relevante for oss, hva vi lagrer og hvor, og hvem som skal gjøre hva og når. Da skal vi iverksette og levere som avtalt innenfor angitt tidsfrist. I tillegg har gjennomføringsfasen også løpende oppfølging for å håndtere eventuelle endringer som måtte komme, fange opp ny lovgivning, intern opplæring, og kontroll på at alt blir gjennomført. Slik sett kan man si at «GDPR» blir en løpende prosess i virksomheten gjennom året.


Jogrim Ristebråten

Kontakt meg for gjennomgang av GDPR
Personverntesten
Sjekk hvor godt forberedt er din virksomhet på den nye personvernforordningen (GDPR) – ta testen her personverntesten.no
Forordningen
Les mer om den nye forordningen: datatilsynet.no
FAQ
Har du spørsmål?
Les vår FAQ her


Prosjektleder
Vi gjennomfører GDPR-prosessen
sammen med deg


Personvernombud
Vi tar rollen som personvernombud
for din virksomhet