GDPR.jpg

GDPR

VIRKSOMHETENS PLIKTER

Datatilsynet er tydelig på at det viktigste ved GDPR er hvordan systememene i bedriften fungerer for å ta vare på GDPR på en god måte.

Du må ha system for internkontroll og informasjonssikkerhet.

Internkontrollsystem 

er et ord som er godt kjent hos alle bedrifter som har jobbet med HMS og er i prinsippet bare en systematisk oversikt over hva en bedrift må gjøre hvert år for å sikre at  arbeidet ikke bare blir ingangsatt, men fulgt opp og evaluert hvert år.

Informasjonssikkerhet

Informasjonssikkerhet er også et ord som de fleste ledere forstår selv om man i for stor grad tror det handler om å ha gode løsninger knyttet til data. Sikkerhet handler i stor grad om holdninger og gode rutiner, mye mer enn å ha dyrt utstyr.

Datatilsynet sier blandt annet følgende om arbeidet med GDPR:

Ansvarlighet, internkontroll og informasjonssikkerhet


Personvernforordningen stiller krav til den behandlingsansvarliges ansvar. Det innebærer å sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre og påvise at personopplysninger behandles i samsvar med regelverket.
Dersom det blir behov for det, skal de tiltakene man har valgt endres og oppdateres. Dette kan oppsummeres som rutiner for oppfyllelse av virksomhetens plikter og de registrertes rettigheter, og rutiner og tekniske tiltak for informasjonssikkerhet.

Hva er internkontroll?


Virksomheten må sikre en forsvarlig behandling av personopplysninger ved at man ivaretar den registrertes rettigheter og friheter, samtidig som man ivaretar virksomhetens mål ved behandlingen. Etter personvernforordningen (artikkel 24) innebærer det en forholdsmessighet hvor man ser på behandlingens art, omfang, formål og sammenheng, samt risikoene for fysiske personers rettigheter og friheter, og ut fra det gjennomfører egnede tekniske og organisatoriske tiltak. Internkontroll skal være ledelsens verktøy for å ivareta sitt ansvar og demonstrere etterlevelse etter personvernregelverket, og de ansattes verktøy for å utføre oppgaver på en forsvarlig og sikker måte. Tiltakene skal dokumenteres og oppdateres ved behov. 

Om informasjonssikkerhet


Personvernregelverket krever at personopplysninger skal beskyttes tilfredsstillende mot uberettiget innsyn og endringer. Samtidig skal opplysningene være tilgjengelige for de som trenger opplysningene, når de har behov for dem.

Informasjonssikkerhet dreier seg om å håndtere risikoen for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. Dette gjøres ved først å identifisere hvilke personopplysninger virksomheten har. Deretter gjennomføres en risikovurdering for å avklare om eksisterende sikkerhetstiltak er tilfredsstillende.

Dersom risikovurderingen avdekker manglende tiltak må det vurderes om nye tiltak skal iverksettes for å oppnå tilfredsstillende sikkerhetsnivå for personopplysningene. Kontrollrutiner må utarbeides og jevnlig følges, for å kontrollere at tiltakene blir fulgt opp og virker etter hensikten.

( Hentet fra Datatilsynets sider om gdpr august 2020)

«Risikovurdering» høres fremmed ut for mange, men det betyr helt enkelt dette: å vurdere hva som kan gå galt, finne ut hvordan du forhindrer det, og hva du må gjøre hvis noe likevel skjer.

  • Du plikter å gjennomføre risikovurderinger i GDPR-arbeidet ditt (selv om du er en mikrobedrift med 0-1 ansatt)
     

  • Risiko er en kombinasjon av sannsynlighet for og konsekvensen av en uønsket hendelse
     

  • For små bedrifter kan en risikovurdering gjøres veldig enkelt og etter de 4 stegene beskrevet nedenfor
     

  • Du må dokumentere (skrive ned) risikovurderingen
     

  • Hver gang du tar i bruk et nytt system, må du gjøre en risikovurdering
     

  • Du bør oppdatere risikovurderingen årlig (i tråd med interne GDPR-revisjoner)

Eksempel på en risikovurdering


Vi kan se på arkivpermer på kontoret som et eksempel:

  1. Hva har vi? Arkivpermer med kontrakter og personalmapper
     

  2. Hva kan gå galt? Innbrudd, hærverk, brann, oversvømmelse, snoking
     

  3. Hvordan kan vi forhindre at dette skjer? Låse permene inn i et brannsikkert skap, digitalisere innholdet, sikre back-up
     

  4. Hva gjør vi om noe likevel går galt? Lukker avviket, anmelder, varsler forsikringsselskap, sjekker at sikkerhetskopiene fungerer, varsler berørte

Vi hjelper deg med GDPR