GDPR - mindre nytt en de fleste tror

GDPR, personvernforordningen fra EU, er et stadig tilbakevendende tema i både media, i styrerom og når ledergrupper møtes. Likevel er kunnskapen om hvilke endringer dette medfører fortsatt lav i mange virksomheter. Syv Ræder-medarbeidere bistår i dag oppdragsgivere slik at de er godt forberedt når regelverket trer i kraft.

– Regelverket omhandler den informasjonen du har om enkeltpersoner, hvordan du håndterer den og hvilke rutiner og systemer virksomheten har for dette. Som virksomhet må man sikre konfdensialitet, integritet og tilgjengelighet for  personopplysninger man forvalter. Dette er en naturlig del av internkontrollen for enhver virksomhet. Ut fra virksomhetstype og størrelse, vil det naturlig nok være enorme forskjeller i hvordan man sikrer dette, sier partner Vebjørn Søndersrød.

Start med et tverrfaglig team

For å starte arbeidet er det nødvendig at det er personer i selskapet eller som
virksomheten har knyttet til seg som kan reglene, har god oversikt over organisasjonen og forstår IT. For større virksomheter betyr dette store team, for små virksomheter kan muligens en person  dekke alt. Jobben er å klassifsere informasjon, vurdere risiko og sikre at rutiner er på plass. 

– Som sagt er jobben å sikre konfdensialitet, integritet og tilgjengelighet.  konfdensialitet betyr at uvedkommende ikke skal ha adgang til personopplysninger. Selskapet må derfor defnere hvem som skal ha tilgang, og sikre at andre ikke har det. Det må etableres oversikt over tilgangsnivåer for de som skal ha tilgang, og sikre informasjonen mot at andre kan tilegne seg den. Personopplysningene må i tillegg
klassifseres. Virksomheter må gjøre en vurdering av konsekvensene av at personopplysninger blir tilgjengelig for andre enn de som skal se dem. Denne
klassifseringen kan for eksempel være fra lav til katastrofal. Persondata om
folk sin helse eller økonomi er ofte på et høyt nivå, mens kontaktinformasjon
som telefonnummer og e-postadresse er lavest. En god del apper lagrer informasjon om hvor folk er og beveger seg. Tilsynet defnerer at denne dataen krever høy beskyttelse. Men det er ikke slik at klassifseringen er helt klar. Hvert selskap må gjøre klassifseringen selv, ut fra sine vurderinger, sier Vebjørn.

Sikre mot feilaktig informasjon

Integritetskravet er for å sikre at personopplysninger er korrekte og at de ikke kan endres av andre enn de som har det som oppgave. – Hvis uvedkommende kan endre helseopplysninger, kan det i de verste tilfellene være katastrofalt, for eksempel resepter eller blodtype. Hvis en e-postadresse endres, er sannsynligvis konsekvensen lav. Regelen er at hvis konsekvensene er store, må risikoen være svært lav for å kunne endre. Denne risikovurderingen gjelder naturligvis ikke bare lokalt hos virksomheten. Den må også gjøres på leverandørnivå. Hvis man bruker skytjenester eller har satt ut deler av systemene sine til leverandører, må man gjøre en vurdering av hele løsningen. Det kan være en krevende oppgave, men mange aktører har allerede gjort jobben for kundene, sier han.

Innsynsrett for personopplysninger

– Det siste kravet er tilgjengelighet. Selv om det stilles krav til sikkerhet må informasjonen  være tilgjengelig for dem som skal bruke dem. Helseopplysninger har liten verdi, hvis ikke behandlerappratet får tilgang på dem. Det samme gjelder et kunderegister eller informasjon om medarbeidere. Det som i tillegg er viktig er at den personen informasjonen gjelder har innsynsrett, og har mulighet til å få enten deler av informasjonen eller alt slettet, sier partneren.
– Personopplysninger kan ikke lagres evig. Det er kun relevant informasjon vi skal ha. Hvor lang historikk som kan lagres, avhenger av typen. Du skal ikke lagre informasjon lenger enn det formålet forsvarer. Tilbake til helseopplysninger, så er de ofte relevante å ta med seg hele livet, mens handlehistorikken din i en butikk bør slettes innen rimelig tid. Derfor må virksomheter ha på plass gode sletterutiner for personopplysninger. Jeg er sikker på at nettopp sletterutiner er noe tilsynet vil være spesielt opptatt av, sier Vebjørn.

Tilsynet vil hjelpe

Dette høres svært omfattende ut. Er det fare for at tilsynet vil bøtelegge en rekke virksomheter rett etter at regulativet er trådt i kraft? – Jeg tror ikke det. De virksomhetene som i dag forvalter de mest sensitive dataene har kommet langt. Hvis tilsynet gjennomfører kontroll i en normal virksomhet, vil de ut fra hvordan jeg kjenner dem primært gi hjelp. Så lenge selskapet har vist at de har gjort en jobb, utviklet rutiner og dokumentert dem og fordelt ansvar, vil tilbakemeldingen trolig være hjelp til å forbedre seg på noen områder. Har virksomheten ikke gjort noe, vil
det nok bli et mindre hyggelig møte dem. 

Utvikle en personvernerklæring 

Er det store forskjeller mellom selskaper som har privatpersoner som kunder og de som har bedriftskunder? Et selskap som leverer til det profesjonelle markedet vil sannsynligvis ha langt mindre personopplysninger om kundene. Samtidig er det like krav til den informasjonen de lagrer. De må dokumentere informasjonssikkerheten og ha oversikt over hvilke personopplysninger de behandler, enten det er kundedata eller medarbeiderinformasjon. De må også begrunne hvorfor de har denne og ha sletterutiner for informasjon. Har du en legitim grunn, er det som regel lov. Ethvert selskap, enten de har personer eller selskaper som kunder må/bør utvikle en personvernerklæring for selskapet og gjøre den tilgjengelig, for eksempel på nettsidene. Det er en god start for arbeidet, råder Vebjørn

Sjekkliste for GDPR: 

• Vi har et system for å klassifsere personopplysninger i vår virksomhet 
• Vi har et system for å vurdere risiko forbundet med personopplysninger vi har lagret 
• Vi har et system og rutiner for å forvalte personopplysninger om ansatte
• Vi har et system og rutiner for å forvalte personopplysninger om kunder  
• Vi har et system og rutiner for å forvalte personopplysninger om de som ikke er kunder eller ansatte 
• Vi har rutiner for jevnlig gjennomgang av hvordan vi klassifserer personopplysninger, vurderer risikoen ved å lagre dem og hvordan vi forvalter dem
• Vi har utpekt en person, behandlingsansvarlig, som har hovedansvaret for behandlingen av personopplysninger
• Vi har nedfelt hvorfor vi lagrer personopplysninger, forklart hvorfor vi må gjøre det og hvor dette er hjemlet i lovverket
• Vi har gjort en risikovurdering av IT-systemene og dokumentert dem
• Vi har fått leverandører som har tilgang til eller hoster våre IT-systemer til å gjøre en risikovurdering av sine systemer og dokumentert dem
• Vi har rutiner for å sikre at personopplysninger er korrekt i våre systemer og at systemer som sikrer at kun autoriserte får tilgang til dem og kan endre dem 
• Vi har rutiner hvis personer vi har data på ønsker å se eller slette disse
• Vi har rutiner for å slette personopplysninger
• Vi har utviklet personvernerklæring for vår virksomhet 
  
  

Denne artikkelen ble først utgitt i Rædaksjonelt v. 01/2018 - vårt eget kundemagasin. Der kan du lese fagartikler, intervjuer med våre medarbeidere, samt få innsikt i gode kundehistorier og caser vi har arbeidet med. Mer fra Rædaksjonelt finner du her.