Overholder bedriften GDPR-reglene?
Den 25 mai 2018 trådte GDPR-regelverket i kraft. Dette innebar ny lovgivning rundt personvern i Norge og en enhetlig regulering av personvern for hele EU og EØS-området. GDPR (General Data Protection Regulation) gjelder for alle bedrifter og stiller krav til hvordan bedriften samler inn, lagrer og håndterer personopplysninger og sensitiv informasjon. Overholder du og din bedrift reglene? Her kommer en oppsummering av reglene samt noen tips til hvordan du kan sjekke at du overholder personvernsreglene.
Hva er GDPR?
GDPR er EUs nye personvernforordning som regulerer hvordan bedrifter skal beskytte personopplysninger. GDPR er implementert i alle lokale personvernlover i hele EU og EØS-området og gir innbyggerne større kontroll over egne personopplysninger. Det kreves full åpenhet omkring hvordan bedriften bruker enkeltmenneskers personopplysninger. GDPR gjelder for alle organisasjoner og bransjer som samler eller håndterer personlige opplysninger og sensitiv informasjon om sine ansatte eller kunder. Om man ikke oppfyller kravene risikerer bedriften bøter på opptil 4% av den totale konsernomsetningen.
Hva regnes som personopplysninger?
Personopplysninger er den informasjonen som direkte eller indirekte kan identifisere en fysisk person. Personopplysninger kan være navn, adresse, e-postadresse, personnummer, bilder, IP-adresse eller mobil-ID. I henhold til GDPR skal all behandling av personopplysninger være lovlig, korrekt og gjøres på en transparent måte for den registrerte.
Hvordan overholder jeg GDPR?
• Gjør en kontinuerlig risikovurdering og sikre at dere lagrer og behandler personopplysninger riktig. Viktige spørsmål å stille seg er: Hvor lagres og behandles personopplysninger? På interne servere, i mobile enheter, i skyen, i e-poster eller i apper? Hvilken datasikkerhet har dere i dag? Hvem har tilgang til personopplysningene?
• Kartlegg hvordan personopplysninger samles inn, prosesseres og lagres. Det kan være lurt å lage et flytskjema for å se hvordan personopplysninger flyttes mellom ulike systemer og om disse systemene oppfyller kravene GDPR stiller til håndtering av opplysningene.
• Kontroller hvor dere lagrer personopplysningene rent fysisk og eliminer risikoen for at dokumenter som skrives ut havner i feil hender. Ettersom GDPR gjelder uansett om opplysningene lagres digitalt eller fysisk er det klokt å investere i låsbare oppbevaringsløsninger, slik som arkivskap, innbruddssikre skap eller verdiskap. Disse gir høy sikkerhet og gjør det enkelt å begrense tilgangen til konfidensielle dokumenter.
• Destruer utskrifter av sensitiv informasjon med en makuleringsmaskin. Makuleringsmaskiner kutter eller strimler opp dokumenter i små biter og anbefales for sensitiv eller konfidensiell informasjon.
• Informer alle internt godt om rutinene for hvordan man skal opptre dersom personopplysninger kommer på avveie.
• Tenk på å alltid oppgi formålet når bedriften din samler inn personopplysninger. Det bør være tydelig hvor informasjonen skal brukes og opplysningene kan ikke brukes til andre formål enn det som er opplyst.
• Sørg for å ha oppdatert bedriftens vilkår og policy i forhold til hvordan personopplysninger og sensitiv informasjon håndteres. Se til at denne informasjonen er lett tilgjengelig.
• Hold alle ansatte kontinuerlig informert om endringer, nye regler og planer rundt beskyttelsen av personopplysninger og implementeringen av GDPR.
NB: Denne teksten inneholder ikke juridiske råd. Den en kun ment for å gi et kort overblikk over GDPR og gi enkle tips rundt emnet ettersom mange bedrifter påvirkes. Les mer om GDPR og hva det innebærer på Datatilsynets nettside.