Hva er egentlig den nye personvernforordningen, GDPR? Dette er det din virksomhet må gjøre for å ruste seg for det nye EU-regelverket som trer i kraft allerede 25. mai 2018.
Det er under ni måneder til EUs nye personvernforordning innføres. Og mange norske virksomheter sitter kanskje fremdeles på gjerdet, og er usikre på hvordan de skal gå frem.
Bjørn Erik Thon, direktør i Datatilsynet har laget en liste over hva din bedrift må gjøre for å møte det nye regelverket.
Kan få bot på fire prosent av global omsetning
For å styrke personvernlovene, har EU innført GDPR (General Data Protection Regulation), som gjelder for alle bedrifter som prosesserer eller behandler store mengder data med personopplysninger. Det betyr at din bedrift får nye plikter og lover de er nødt til å forholde seg til.
– Mange har vært opptatt av det store bøtenivået som kommer. Det å bryte det nye regelverket kan koste fire prosent av global omsetning, om man bryter dette på alvorlig vis, fortalte Bjørn Erik Thon i sitt foredrag unde Digital Summit 2017.
Han deler inn organisasjonslivet i to bolker. Den ene er virksomhetene, kommunene og organisasjonene som nå jobber mye med de nye regelverket på grunn av redsel. Den andre er virksomhetene som gjør det fordi de synes det er viktig.
– Vi ser at det er stadig flere som ser at det å kunne bruke data på en riktig måte, kan gi konkurransefordeler og stor verdi.
- Vil du vite mer om det nye EU-regelverket, GDPR? Datatilsynet har laget en grundig oversikt som hjelper deg på veien.
7 punkter du er nødt til å gjøre for å følge GDPR
Uavhengig av om du er i den ene eller den andre bolken: Thon har syv punkter virksomheter som skal følge regelverket, er nødt til å gjøre.
1. Utred alltid personvernkonsekvensen av det man gjør:
– Enten om det er nytt CRM-system, personalsystem, kundeprogram, app eller fagsystem. Hva betyr dette for risikoen? Hva betyr det for dem som blir registrert? Hvordan skal jeg koble data? Hvordan skal jeg sikre data?
– Man skal utrede behandlingen av data. En del av konsekvensutredninger er at man skal identifisere risikoen og iverksette tiltak for å redusere risikoen. Så må man ta en beslutning om man skal gå videre med det eller ikke.
2. Forhåndsdrøftelse ved høy risiko:
– Ønsker du å drive ansvarlig databehandling, og fant ut at det var høy risiko i utredningen du gjennomførte i punkt én, skal du gjennomføre en forhåndsdrøftelse med Datatilsynet.
3. Bygg godt personvern inn i teknologien:
– Det kan være en automatisk sletterutine, en god innsynsløsning, kryptering, anonymisering eller annet. Og det finnes flere gode løsninger og teknikker som hjelper deg med å bygge inn et godt personvern i teknologien virksomheten din bruker.
– Datatilsynet laget nettopp en god veiledning om personvern og innebygd personvern.
4. Skaff en personvernrådgiver:
– Flere virksomheter enn i dag må også ha personvernrådgiver. Det er spydspissen til personvern-eksperten i virksomheten. Det er personen som skal kunne komme med råd og sørge for at prinsippene for innebygget personvern blir fulgt når man behandler data i virksomheten.
– For alle offentlige etater blir dette obligatorisk fra 25. mai 2018. Så er det ganske mange andre som også må ha dette – blant annet de som har risikable behandlinger, har databehandling som kjernevirksomhet og de som bruker data til sporing.
– Dette er en forpliktelse og noe man må ha. Hvis ikke bryter man personvernforordningen.
5. Avvikshåndtering:
– Det betyr at du må rapportere inn til datatilsynet om man gjør noe som går galt. Hvert år får vi 200 avviksmeldinger, og når de nye reglene kommer, senkes terskelen for å rapportere inn avvik. Det betyr at man skal melde inn flere avvik. Og det kan være alt fra å ha en minnepinne på avveie eller legge feil brev i feil konvolutt.
– Det innføres krav om å innføre rutiner for å melde inn avvik. Ikke minst har man en 72 timers frist for å melde inn avvik til oss. Der skal man blant annet si hva som har skjedd, hvorfor det skjedde og hva som antageligvis er skaden.
6. Internkontroll:
– Hva gjør man hvis noen ber om innsyn, sletting eller få utlevert opplysningene sine? Alt skal sys sammen i en internkontroll. Det er virksomhetens egne rutiner for hvordan man skal håndtere avvik, innsynsbegjæringer og hvordan man skal jobbe med personvernutredninger.
– Det er det første Datatilsynet spør om når vi er ute på tilsyn: Kan jeg få se på internkontrollen din? For det er det som bestemmer hvordan virksomheten skal jobbe med personopplysninger.
– En internkontroll skal være forankret i ledelsen. I Datatilsynet har vi ledelsesgjennomgang med jevne mellomrom. I det er det bare læring, men internt i virksomheten skal det være noe som gjør at man følger reglene og at man lærer av feilene som er gjort.
7. Retten til dataportabilitet:
– Man styrker individets eiendomsrett over egen data. Det betyr at man kan ta med seg egen data fra et selskap til et annet. Jeg kan si til bank A at jeg ikke vil være kunde hos deg lenger, jeg vil være kunde hos bank B og jeg vil ha med meg dataene mine. Man innfører en forbrukerrettighet på personvernområdet som er uhyre interessant og nyttig å følge.
– Vi har ikke hatt noe lignende i Norge tidligere, så det blir spennende å se hvordan dette slår ut i praksis.
Hvor begynner jeg?
– Nå gjelder det å få opp farten, men hvor skal jeg begynne, tenker kanskje du? Hvis jeg skal gi et godt råd, er det aller viktigste å lage en oversikt over hva slags data du har over kundene dine og hva du bruker dataene til.
Vil du vite mer om GDPR? Og hvilke tre teknologitrender som har betydning for personvernet? Her kan du få tilgang til hele foredraget til Bjørn Erik Thon i Datatilsynet.