Nye personvernregler fra mai 2018 – hva bør du gjøre allerede nå?

Det haster å sette seg inn i regelendringene i personopplysningsloven. Sticos har laget en sjekkliste som gjør din bedrift i stand til å takle endringene.

De nye personvernreglene som trer i kraft i 2018 gir flere og strengere plikter enn før. EUs forordning for personvern er navnet på det som skal erstatte det vi i dag kjenner som personopplysningloven.

Reglene trer i kraft i mai 2018, og gir Datatilsynet muligheten til å gi opptil 20 millioner Euro i bot eller enda mer for selskaper med stor global omsetning, til de som bryter loven. Men selv om de nye reglene kan virke overveldende, er det mye du og din bedrift kan gjøre allerede nå for å være klar til endringene trer i kraft.

Les om de største endringene her.

Dette bør du gjøre nå

Sticos har laget en sjekkliste som din bedrift kan følge for å få et best mulig utgangspunkt for å være klar til endringene. Sjekk om din bedrift er klar!

1. Få informasjon om regelverk og hvordan dette påvirker.
Sett deg inn dagens regelverk. De nye reglene gir mange endringer, men mye er gjort hvis bedriften din begynner å følge reglene som allerede foreligger. Vi anbefaler din bedrift å delta på kurs for en innføring i endringene og å få de verktøyene dere trenger for å ikke risikere bøter.

2. Kartlegg virksomhetens bruk av personopplysninger
Med dette mener vi at bedriften din må skaffe en fullstendig oversikt over hvilke personopplysninger dere sitter på. Dette kan være alt fra mailinglister, kundelogger til interne notater som gjelder enkeltpersoner. Dere må deretter kartlegge når og hvordan og opplysningene brukes, formål med bruken og hvilke opplysninger som brukes.

3. Vurder om du har lov til å bruke opplysningene
Deretter må dere vurdere om bedriften har gyldig behandlingsgrunnlag. Det vil si om opplysningene kan brukes. Dette kan være lovhjemmel, samtykke fra den registrerte eller en gyldig nødvendighetsgrunn. Et eksempel på gyldig nødvendighetsgrunn kan være at arbeidsgiveren må ha kontonummeret til en ansatt for å kunne betale lønn.

4. Risikovurder
Virksomheten din må vurdere faren for at et sikkerhetsbrudd kan inntreffe, og mulige konsekvenser for de registrerte hvis det skjer. Dette kan handle om alt fra hacking av databaser til feilsendte e-poster.

5. Sikre informasjonssikkerhet
Enkeltpersoner skal føle seg helt sikre på at opplysningene om han eller hun ikke blir misbrukt. Bedriften din kan forsikre den registrerte om dette ved å sørge for tilgjengelighet, integritet og konfidensialitet.

Tilgjengelighet vil si at personopplysningene skal være tilgjengelige for det formålet de er tiltenkt, og at enkeltpersoner enkelt kan få innsyn i opplysningene som er lagret om han eller henne. Bedriften må bare bruke opplysningene til tiltenkt formål, og ha backup der det er nødvendig.

Integritet betyr i dette tilfellet at opplysningene er korrekte og sikret mot at uautoriserte kan endre dem. I tillegg må det være tiltak mot ødeleggende programvare. Konfidensialitet sikres ved å ha gode rutiner for at uvedkommende ikke får innsyn, og for eksempel at opplysninger som sendes elektronisk utenfor behandlingsansvarliges kontroll krypteres.

6. Utarbeide rutiner for internkontroll
Dette er noe av det viktigste bedriften din kan gjøre. Rutiner for internkontroll vil si rutiner som sikrer at virksomheten overholder reglene om personvern – herunder innhenting og kontroll av opplysninger, vurdering av formål med behandlingen, oppfølging av avvik, behandling av innsynsbegjæringer, behandling av krav om reservasjon eller sletting. Denne internkontrollen må dokumenteres.

 

Kilde: www.sticos.no