IT-sikkerhet

Sjekkliste: 7 viktige trinn for å administrere GDPR-tilpasning

Den 25. mai 2018 erstattes Personverndirektivet av EUs nye personvernregelverk.

GDPR er den største endringen i EUs lovgivning om personvern på to tiår og det vil få stor innflytelse, også i Norge. Lovgivningen inneholder både nye og mer omfattende regler enn tidligere. GDPR handler om å beskytte individers personvern og krever at organisasjoner respekterer og beskytter våre personlige data - uansett hvor de sendes, behandles eller lagres.

I denne artikkelen vil du lære 7 trinn som hjelper deg med bedriftens GDPR-tilpasning. Du får også informasjon om de største endringene med GDPR. Vær oppmerksom på at artikkelen ikke er uttømmende. Du må selv finne mer informasjon om hva som gjelder for din virksomhet.

Hva betyr personopplysninger?

Personlige data er den informasjonen som direkte eller indirekte kan identifisere en fysisk person. Personlige data kan være navn, adresseinformasjon, e-postadresse, personnummer, bilde, IP-adresse eller mobil-ID. Det kan også være genetiske data eller biometriske data som fingeravtrykk eller ansiktsgjenkjenning.

7 trinn for å hjelpe deg med å administrere GDPR-tilpasningen

1. Undersøk hvordan du i dag lagrer og behandler personlig informasjon

Første skritt er å undersøke hvordan du lagrer og behandler personlige data i dag, og hvilke virkninger GDPR vil ha for din bedriften. Viktige spørsmål å stille er:

  • Hvor lagres og behandles personopplysningene? På interne servere, i mobile enheter, i skyen, i e-post eller i apper?
  • Hvilken datasikkerhet er tilgjengelig i dag?
  • Hvem har tilgang til personopplysningene?
  • Hvordan beskyttes personopplysninger?

Husk at selskapene kan bli nødt til å betale mye høyere bøter enn tidligere ved manglende overholdelse av GDPR. I Norge har bøtene som selskaper hittil har betalt, vært beskjedne.

2. Bestem hvem som er ansvarlig for datasikkerheten

Hvis du ikke allerede har gjort det - bestem deg for hvem eller hvilke som skal være ansvarlige for datasikkerheten.

Dersom hendelser av mer alvorlig natur forekommer skal dette rapporteres til Datatilsynet innen 72 timer. Det er en fordel om du har avgjort på forhånd hvem som da skal varsle, slik at dere kan gjøre dette i tide. Noen organisasjoner er også pålagt ved loven å utnevne en offisiell databeskyttelsesansvarlig.

3. Utvikle retningslinjer, regler og instruksjoner

Sjekk om det finnes klare retningslinjer, regler og instruksjoner i ditt firma angående hva som gjelder for håndtering av personopplysninger. Må de endres eller suppleres når GDPR trer i kraft? Vurder også å lage prosedyrer for dokumentasjon, rapportering og håndtering av databrudd og hendelser.

Se også personvernreglene og lignende opplysninger du gir til registrerte personer.

4. Tren dine ansatte i datasikkerhet

En svært viktig, men ofte glemt del, er å trene ansatte til å handle trygt i behandlingen av personopplysninger. Det handler om å skape en kultur der alle er bevisste på datasikkerhet. Dette er en stor utfordring, spesielt for mindre selskaper som ikke kan legge så mye ressurser på opplæring eller ansette personer med spesielt ansvar for databeskyttelse. Her blir det ekstra viktig med brukervennlige IT-systemer som muliggjør sikker behandling av personopplysninger.

5. Sjekk om du har hjemmel for behandlingen

Undersøk og dokumenter at du har juridisk grunnlag for behandling av personopplysninger, slik at du kan overholde reglene i GDPR. Husk at dette gjelder for all personlig databehandling. Overgrepsregelen gjelder ikke lenger med GDPR.

Personlige data kan bare lagres så lenge de oppfyller formålet du oppgav da du samlet dem inn. Derfor må du ha rutiner for regelmessig sletting av data som ikke lenger er under behandling. Dette gjelder også personopplysninger i sikkerhetskopier, noe som kan være en praktisk utfordring.

6. Finn ut om du håndterer sensitive data

Datasikkerhet er spesielt viktig i behandlingen av sensitive data; slik som etnisk opprinnelse, politisk syn, religiøs tilhørighet, fagforening, klassifisert informasjon eller data om seksualitet og helse. For disse tilfellene gjelder spesielle regler. Spesielle regler gjelder også for behandling av barns personopplysninger.

7. Sjekk om dine eksisterende IT-systemer er tilpasset GDPR

IT-systemer må utformes for å gi personvernsbeskyttelse som kreves av GDPR. For eksempel bør du kunne:

  • Korrigere, endre eller slette personlige data i samsvar med rettighetene de har registrert under GDPR.
  • Registrere og rapportere databrudd, lekkasjer eller andre hendelser som involverer personlig datahåndtering.
  • Vis at du behandler personlige data i samsvar med GDPR.

Når du kjøper nye IT-systemer må du kontrollere at systemet tilrettelegger for juridisk behandling av personopplysninger. Leverandøren bør ha designet IT-systemet i henhold til "privacy by design" eller innebygd personvern. Dette innebærer blant annet at leverandøren har tatt hensyn til datasikkerhet og personvernproblemer allerede i utviklingen av IT-systemet.

Sikkerhetskrav som IT-systemet skal tilfredsstille er:

  • Innstillinger som kan tilpasses slik at mengden personopplysninger som samles inn eller behandles, minimeres.
  • Funksjoner for å slette data som ikke lenger behandles.
  • Kvalitetsstyring slik at kun de som trenger oppgavene for å utføre sitt arbeid har tilgang.
  • Sterk påloggings-autentisering ved behandling av personlige data.
  • Beskyttelse av personopplysninger når de sendes eller lagres, for eksempel på forskjellige enheter, i skyen eller ved kryptering.
  • Fjernsletting av data eller blokkering av tapte eller stjålne enheter.
  • Begrensning av hvilke apper som kan brukes til behandling av personlige data.

De viktigste endringene med GDPR

Generell databeskyttelsesforordning, GDPR, omfatter alle selskaper, organisasjoner og myndigheter som arbeider med EU-borgernes personopplysninger, i noen tilfeller også selskap og organisasjoner utenfor EU.

GDPR gjelder både bedriftens behandlingsansvarlige og personale som er ansatt for å behandle persondata på forskjellige måter (for eksempel en skytjenesteleverandør). I slike tilfeller skal en såkalt personavtale inngås. Både behandlingsansvarlig og persondataansvarlig er ansvarlig for å overholde reglene i GDPR.

Spesielle vilkår gjelder dersom bedriften din ønsker å overføre personlige data til et land utenfor EU.

Sterkt økte bøter ved manglende overholdelse

Frem til nå har det har ikke kostet mye for bedrifter å handle i strid med Personverndirektivet. Dette endres med GDPR, hvor det følger at selskaper kan bli bøtelagt med opptil 20 millioner euro eller opptil fire prosent av omsetningen dersom selskapet forsettlig eller ved et uhell har unnlatt å overholde GDPR. Jo mer alvorlig bruddet er, desto høyere blir boten. Datatilsynet er den norske myndigheten som fastlegger boten.

GDPR har mange likheter med Personverndirektivet. For eksempel må du undersøke at det foreligger et juridisk grunnlag for behandling av personopplysninger. Utgangspunktet for både Personverndirektivet og GDPR er at selskapet ikke "eier" personopplysningene, men bare kan bruke dem til et bestemt formål og at den enkelte skal informeres om når de samles inn. Når formålet med behandlingen av personopplysninger ikke lenger foreligger, kan de ikke lenger beholdes, men skal slettes.

Misbruksregelen forsvinner

Den såkalte misbruksregelen som i Personverndirektivet gir enklere regler for behandling av personopplysninger i ustrukturert materiale (for eksempel gjeldende tekst, lyd, bilde, lister eller e-post) forsvinner med GDPR. Dette betyr at du må ha det riktige juridiske grunnlaget for all behandling av personopplysninger.

Økt gjennomsiktighet og forbedret personvernsbeskyttelse for den registrerte.

Selv når du samler personopplysninger krever GDPR at du skal informere om formålet med behandlingen. For eksempel kan det være markedsføring, fakturering eller signering av en avtale med registranten. I noen tilfeller er det også nødvendig med aktivt samtykke fra den registrerte. Du vil også bli informert om hvor lenge dataene skal behandles og at vedkommende vil få mulighet til å klage til Datatilsynet dersom de anser behandlingen av personopplysninger som feil.

De registrerte har også krav på å få tilgang til sine plikter og til å få feilinformasjon korrigert. Det innebærer også at dersom du har sendt feil informasjon til en annen part, må dette informeres om for å rette opp i registeret. De registrerte har også i noen tilfeller rett til å motsette seg behandling av personopplysninger, for eksempel å bli brukt til direkte markedsføring eller automatisk profilering. De har også krav på å få sine personlige data flyttet, for eksempel til en annen tjenesteleverandør.

For eksempel kan informasjonen bli samlet i en personvernpolicy eller personvernpolicy, som er lett tilgjengelig for de registrerte.

Økt datasikkerhetskrav

Bedrifter og organisasjoner som håndterer personopplysninger får større ansvar for å beskytte dem mot datasvindel eller lekkasjer. Ved sensitive data med høy integritetsrisiko, for eksempel helse, etnisk, politisk eller religiøs data, stilles det spesielle krav til datasikkerhet. I disse tilfellene må du ifølge GDPR gjøre en konsekvensvurdering av datasikkerheten og hvilke tiltak som kan være nødvendige for å redusere risikoen. I tillegg, dersom risikoen er høy, må du konsultere Datatilsynet før du behandler personopplysningene.

Myndigheter og organisasjoner som arbeider med sensitive data, eller organisasjoner som regelmessig og systematisk overvåker de registrerte i stor grad, bør også utpeke en databeskyttelsesansvarlig. Datatilsynet er blant annet opptatt av å informere og gi råd om databeskyttelse, og overvåke overholdelse av GDPR.

Obligatorisk å rapportere alvorlige hendelser som datasvindel

Alle hendelser slik som lekkasjer, data brudd eller andre forbrytelser mot personopplysninger bør dokumenteres. Dersom hendelsen utgjør en risiko for de registrertes rettigheter og integritet, skal hendelsen underrettes til Datatilsynet innen 72 timer. Hvis risikoen er høy for at de registrerte vil rammes negativt, for eksempel ved risiko for ID-kapring, diskriminering eller svindel, vil også registrerte personer bli varslet.

Les også: Slik støtter Microsoft 365 din GDPR-tilpasning

2 februar 2018

Tagger