Personvern identitetstyveri

Slik kan du starte med endringen mot en ny personlovgivning.

17. august 2017

Personvernloven erstattes av en EU-forordning og innen mai 2018 må virksomheter som behandler personopplysninger ta inn over seg nye regler.

25 mai 2018 innføres en ny forordning om personvern i EU og EØS, også omtalt som GDPR. GDPR er forkortelsen for General Data Protection Regulation. Et felles regelverk for personvern i Europa skal styrke europeiske borgeres rettigheter, gjøre det lettere å utveksle personopplysninger over landegrenser, styrke tillit til digitale tjenester og sikre samarbeid mellom personvernmyndigheter.  Flere av dagens regler rundt personvern videreføres, men det kommer også nye prinsipper og regler som vil påvirke offentlige og private virksomheter i svært stor grad. Personvernloven slik man kjenner den må endres i takt med teknologiens utvikling og derfor vil vi få et nytt regelverk.  Med det nye lovverket vil den registrerte få økt kontroll med hvem som vet hva. Selv om ikke den norske lovteksten er på plass enda bør virksomheter allerede nå forberede seg på hva den nye forordningen innebærer.

Forordningen har to hovedelementer,  hvor virksomheters plikter skjerpes og forbrukernes/borgernes rettigheter styrkes.

  • Virksomheter har plikt til å dokumentere egen evne til å etterleve kravene.
  • Plikt til å utrede konsekvensene av personvernet ved høy risiko.
  • Strengere håndhevelse av reglene kan bety bøter opp til 4% av årsomsetningen for virksomheter som bryter disse.
  • En person har rett til å kreve flytting av sine data til andre tjenesteleverandører (dataportabilitet) og ha innsyn i hvordan dataene deres behandles, samt få innsyn i hva din bedrift har lagret om vedkommende. Altså full innsynsrett.
  • Personer har «rett til å bli glemt» og kreve sletting av sine data.
  • Personer har rett til informasjon om sikkerhetsbrudd relatert til sine data. Dette må også meldes til nasjonal myndighet.
  • Personer får også rett til å motsette seg noen typer profilering, der deres personopplysninger blir brukt til å analysere og forutse deres adferd.

De nye lovbestemmelsene er godt nytt for den registrerte, og krever at virksomheter må ta innsamling og behandling av persondata på alvor i enda større grad enn i dag.

iTet har erfaringen, ressursene og kompetansen som hjelper virksomheter å gjennomføre denne endringen. Vi hjelper til med å identifisere og sikre skjult personinformasjon i ustrukturerte data. Vi kan også hjelpe virksomheten til å bygge opp et rammeverk for dokumentasjon slik forordningen krever. Vi koordinerer våre ressurser, slik at du får assistanse uansett hvor du befinner deg i prosessen med å håndtere forordningen.

Kom i gang med kartleggingen av din virksomhet. Dette kan dere gjøre med en gang.

  • Finn ut hvilke personopplysninger som håndteres, hvordan de samles inn og hvem som har tilgang til disse opplysningene.
  • Ha tydelige rutiner for håndtering av personopplysninger, på hvordan man sikrer at data ikke kommer på avveie (risikovurdering).
  • Velg et personvernanbud, gjelder ikke alle, men er en anbefaling fra iTet.
  • Ved å følge dagens krav blir det enklere å skaffe seg oversikt over hva som må endres for å etterleve de nye personvernreglene. Finn ut hvilke krav som gjelder for din virksomhet og få dette på plass først.
  • Opprett tydelige regler for hvordan samtykke skal gis. Dette kan gjelde opplysninger som skal videre til skattemyndighetene, NAV, forsikring, etc.

En sjekkliste for kartleggingen kan være slik:

  1. Hvilke personopplysninger handterer vi i vår bedrift
  2. Hvilke systemer og programmer handterer disse opplysningene og hvor ligger disse lagret
  3. Hva er formålet med de personopplysningene vi har lagret
  4. Håndterer vi denne informasjonen på en god og trygg måte
  5. Er måten vi oppbevarer informasjonen på i tråd med dagens regelverk
  6. Hvilken informasjon gir vi til personer som er registrert i våre systemer (ansatte, kunder, leverandører)
  7. Oppfyller vi rettighetene til de som er registrert
  8. Hva slags informasjon er det som behandles
  9. Hvordan får vi eventuelt samtykke til registrering
  10. Kommer det frem i ansattavtaler at vi håndterer personopplysninger
  11. Behandler vi personopplysninger om mindreårige
  12. Hvilke rutiner har vi ved sikkerhetsbrudd som angår personopplysninger
  13. Hvem har ansvaret for datasikkerhetsspørsmål i virksomheten
  14. Har virksomheten kontorer i flere land
  15. Hvordan skaffer vi oss kunnskap om de nye reglene
  16. Skal vi be iTet om å bistå oss i dette viktige arbeidet

Justis- og beredskapsdepartementet og Kommunal- moderniseringsdepartementet er ansvarlige for å implementere forordningen i norsk rett. Datatilsynet er i gang med et tverrfaglig prosjekt for å sikre en smidig overgang fra det eksisterende lovverket til ny lov i 2018. Her kan du lese mer om den nye forordningen:
– Datatilsynet: https://www.datatilsynet.no
– Regjeringen: https://www.regjeringen.no/no/tema/statlig-forvaltning/personvern/nye-personvernregler-i-eu/id2340094/
– EU: http://ec.europa.eu/justice/data-protection/ 

Dette er ikke en uttømmende informasjon men er rettledning til å komme i gang med arbeidet for å møte kravene til en ny personvernlovgivning.

Kontakt Stein Ove Johnsen på soj@itet.no eller +47 907 76 212 om du ønsker mer informasjon om hvordan iTet kan bistå deg.


Relatert innhold