Nesten alle norske bedrifter rammes av de nye personvernreglene
De fleste bedrifter har liggende opplysninger om kundene. Det betyr at bedriftene er pliktige til å utføre en rekke personverntiltak. Romerike Internett hjelper deg. Les tipsene våre på disse nettsidene og medl deg gjerne på vårt abonnement, se lenke nederst.
Av: Ragnvald Holst-Larsen, Romerike Internett
Bedriften din rammes av reglene hvis du for eksempel har:
- en server på eget kontor med personinformasjon
- et regnskapssystem inne i bedriften
- opplysninger om de ansatte i en mappe på din egen pc
- en perm eller et arkivskap stående på ditt kontor med informasjon om personer.
Da er du en databehandler. Samtidig er du behandlingsansvarlig.
GDPR: Hva du absolutt må gjøre i løpet av sommeren 2018
Her er fire punkter som du må kunne dokumentere at du har startet arbeidet med før GDPR starter i august 2018. Altså, du må kunne bevise at du er i gang. Du må kunne vise til konkrete arbeidsøkter med ansatte i ditt firma og at dere har tatt tak i GDPR-kravene.
TIPS: Lag en perm, skriv referat og lag utkast til løsninger.
1: Du må ha en databehandleravtale. Kravene til innhold er tydelige, du kan ta utgangspunkt i vår mal for en slik avtale her. Se info om krav til avtale i "artikkel 28" lenger ned.
2: Du må lage rutiner for god oppfølging av feil, endringer og andre ting knyttet til informasjonen som er lagret om personer. Informasjonen du har, skal være riktig og oppdatert. Se info om "artikkel 32".
3: Du må sørge for at informasjonen du har lagret, er sikret på riktig måte. Se info om "artikkel 32".
Du må gjøre en risikovurdering teknisk, administrativt, kryptert og beskyttelse med passord.
4: Du må ha bestemt hva du skal gjøre hvis det skjer en en feil eller systemet stopper. Varsling er viktig. Se "regel 33 og 34".
Du må ha et internkontrollsystem med system for avik og varsling.
Følg med – vi vil gi deg mer informasjon
Følg med på disse nettsidene, vi kommer til å legge ut mer.
- Dokumentmaler til protokoll,
- Databehandleravtale
- Rutiner
- Personvernerklæring
- Risikovurdering
- Internkontroll
Mye blir kun lagt ut på sidene som er forbeholdt våre GDPR-abonnenter. Les mer på https://gdpr.pvern.no .
Hva står i reglene?
En del av regeltekstene nedenfor er forenklet av oss, men tar uansett utgangspunkt i reglene for GDPR. Reglene heter egentlig "artikler", men vi kaller dem stort sett regler her.
Regel 28 handler om databehandlere
Dette sier regelteksten:
a) behandler personopplysningene bare på dokumenterte instrukser fra den behandlingsansvarlige
b) sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt
c) treffer alle tiltak som er nødvendig i henhold til artikkel 32, (DENNE MÅ VI ALTSÅ SE NÆRMERE PÅ)
De siste punktene e f g og h handler egentlig om et tett samarbeid du må ha med behandlingsansvarlig for å
- svare på spørsmål samt å få ut informasjon ( e)
- sørge for tilstrekkelig sikkerhet (f)
- gjøre informasjon tilgjengelig for inspeksjon ( h)
Regel 30 handler om hvilken protokoll som må føres
Dette sier regelteksten:
2. Hver databehandler og, dersom det er relevant, databehandlerens representant skal føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av en behandlingsansvarlig, og som skal inneholde: ( forkortet: Navn , kategorier m.m. ) og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.
Regel 32 handler om sikkerhet
Denne regelen har en innledning som sier at formålet og behandlingens art er viktig for grad av sikkerhet. For normale opplysninger du sender på mail eller lagrer i ditt datasystem så vil man kunne tenke seg at en enklere sikkerhet er tilstrekkelig ( passord på pc og programvare), mens når man skal behandle helseopplysninger eller annen sensitiv informasjon må ha høyere grad av sikkerhet med kryptering av data og overføring av data. Uansett må all data sikres på en god måte.
Dette sier regelteksten:
1: I det det tas hensyn til det tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet, alt etter hva som er relevant,
a) pseudonymisering og kryptering av personopplysninger
De neste punktene handler om viktighet av backup og sikkerhet knyttet til at systemene fungerer.
Regel 33 og 34 handler om varsling og ansvar ved feil
Videre i regel 33 og 34 kommer man direkte inn på hva som skal gjøres hvis man oppdager at noe er galt med systemet, hvis systemet har blitt hacket og hva man skal gjøre hvis personopplysninger har kommet bort. Det er korte frister man har - og uansett hva som skjer så skal man gi varsling.
Hva gjør du videre som ansvarlig?
Det er viktig å komme igang med arbeidet nå så fort som mulig. Sett opp møter i bedriften om GDPR som du dokumenterer med referat (sjef, personalsjef og it-personell). Lag så fort som mulig et utkast til en databehandlingsavtale samt en personvernerklæring - du finner tips i menyen øverst.
Vi kommer i tillegg til å lage noen konkrete forslag som alle databehandlere bør se på:
- risikoanalyser man bør gjennomføre
- rutiner knyttet til personopplysninger og håndtering av disse
- et system for årlig internkontroll som inkluderer gjennomgang av risikoanalyser, rutiner og endringer i avtaler
En siste ting du må vurdere nøye sammen med behandlingsansvarlig er dette med å innhente samtykke. Vi er ikke lengre sikre på at det riktige i alle sammenhenger er å innhente samtykke. Artikkel 6 punkt f gir nemlig mulighet for å bruke personopplysninger til normale aktiviteter - blant annen markedsføring til dine kunder uten noe ekstra samtykke. Det vil også være svært strenge krav hvis du henter inn samtykke.
I de tilfellene du skal bruke samtykke er der hvor du ikke er sikker på at kunden/personen som du har personopplysninger for skulle ønske at du gjøre noe med informasjonen. Skal du f.eks. forske på informasjonen - eller skal du gi adressene til andre - så er det selvsagt at du må be om samtykke.
Jeg anbefaler å lese en artikkel av Jan Sandtrø som tar for seg dette med samtykke og utfordringer knyttet til dette.
Den viser massse feller som det ser ut som svært få tenker på.
DERFOR - man bør heller satse på regel 6 punkt f - om "legitimate interest" - legitime interesser
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.
http://www.privacy-regulation.
Norsk tekst:
f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.
Den engelske er nesten bedre for å forstå hva legitim interesse er.
Det går altså egentlig ut på følgende: Hvis kunden forventer at du tar vare på personopplysningene - ja da er det OK. Det står mye om det her også
Advokat Jan Sandtrø har også laget en god artikkel om de ulike dokumentene som bør være på plass - dette kommer vi tilbake til senere.
Og han har også en fantastisk artikkel om å stoppe i tide eller bli GDPR-compliant - altså man har gjort noe men ikke alt.
Til slutt kommer den strenge advarselen fra Jan Sandtrø:
"Konsekvensene av at det ikke foreligger databehandleravtale, eller at avtalen ikke oppfyller lovens krav, er at databehandleren kan bli ansett å være behandlingsansvarlig og må ha grunnlag for behandling av personopplysninger. Foreligger det ikke databehandleravtale vil utlevering av personopplysninger fra den behandlingsansvarlige til databehandleren kunne være ulovlig. Dette er brudd på personopplysningsloven og GDPR, og i tillegg vil det faktum at det ikke foreligger databehandleravtale i seg selv være et brudd på loven. Ved brudd på loven kan Datatilsynet ilegge overtredelsesgebyr, og bøter og straff risikeres ved spesielt alvorlige forhold. For manglende databehandleravtale kommer maksimalsatsen på gebyr opp til EUR 10 mill./2 % av global årlig omsetning til anvendelse, men dersom personopplysninger overføres til databehandler i land utenfor EU/EØS vil gebyr på opp til EUR 20 mill./4 % av global årlig omsetning kunne ilegges."
Synes du dette var mye tekst - og mye regler?
Vi kan hjelpe deg slik at du gjør en ting hver måned.
Vårt abbonement på GDPR hjelp koster 950 kr pr år og du får da et årshjul som vil hjelpe deg med et nytt tema hver måned gjennom hele året. Du får et interkontrollsystem med loggskjema og aviksskjema slik at du kan vise at du har kontroll hvis datatilsynet skulle komme på kontroll.
Bestill vårt tilbud NÅ
Få mer GDPR-hjelp
Ta kontakt med Ragnvald Holst-Larsen på info@romerike.com for mer informasjon eller for å avtale et telefonmøte. Se vår GDPR-tjeneste her.