<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=116957359027108&amp;ev=PageView&amp;noscript=1">

Blogg

GDPR

september 5, 2017
By:

Sjekkliste: 4 trinn – slik gjør dere forberedelsene til GDPR

I mai 2018 trer EUs nye databeskyttelsesforordning, GDPR, i kraft. Vet dere hva dere skal gjøre for å oppfylle kravene som stilles til dere som bedrift eller organisasjon? Vet leverandørene deres det? Her er våre anbefalinger.

Tidligere har vi forklart hva GDPR innebærer. Denne gangen skal vi fortelle mer om de forskjellige trinnene i tilpasning til GDPR, hva som er viktig å tenke på, gi eksempler og gå gjennom hvilke forberedelser som er nødvendige for å kunne oppfylle kravene i den nye loven.

GDPR innebærer kort forklart at det stilles nye krav til bedrifter og organisasjoner som samler inn personopplysninger. Som personopplysninger regner man data som direkte eller indirekte kan kobles til et individ. Det omfatter også flere registre og ustrukturerte data, for eksempel e-postsystemer. Sensitive personopplysninger er for eksempel personnummer, genetiske data og pasient- og journalinformasjon.  

Er dere klare for GDPR? Slik gjør dere forberedelsene.

1.  Ikke vent til siste liten med forberedelsene. Det kan bli både kostbart og vanskelig å oppfylle reglene i forordningen.

Allerede nå er det på høy tid å sette i gang, for det kan ta lang tid å oppfylle kravene i GDPR. Dette vil være avhengig av bedriftens eller organisasjonens kompleksitet og antallet personopplysninger dere behandler. Som bedrift må dere arbeide kontinuerlig med informasjonssikkerhet fordi trusselbildet endrer seg kontinuerlig.

Det er også viktig å begynne arbeidet tidlig fordi det akkurat nå er vanskelig å si hva kravene vil innebære i praksis. Mye er fortsatt avhengig av tolkning fordi det ikke finnes praksis eller fellende dommer å forholde seg ti. GDPR fastslår at persondata skal beskyttes med tilstrekkelig sikkerhet. Dette vil være et høyere sikkerhetsnivå enn det de fleste bedrifter og organisasjoner har i dag.

Har dere ikke rukket å tilpasse dere etter de kravene som stilles, kan det innebære bøter på opptil 20 millioner euro eller 4 prosent av omsetningen deres.

2.  Forsikre dere om at beslutningstakere og nøkkelpersoner innenfor organisasjonen er bevisst på at personopplysningsloven vil bli erstattet av databeskyttelsesforordningen.

Se til at styret, ledelsen og produkt- og tjenesteeierne er informert og vet hva GDPR kommer til å innebære for nettopp dere. Styret og ledelsen er de øverst ansvarlige og er også de som vil håndtere eventuelle bøter. Produkt- og tjenesteeiere bør kontrollere hvilke personopplysninger dere håndterer i deres tjenester, og om organisasjonen faktisk har behov for dem.

Dere bør etablere eller justere de eksisterende ledelsessystemene, risikohåndtering, retningslinjer og rutiner for å kunne støtte arbeidet med GDPR. Et ledelsessystem som håndterer informationssikkerhet letter arbeidet enormt.

Dere bør ha tilgang till spesialistkompetanse innen jus og informasjonssikkerhet. For eksempel er det anbefalt at dere oppnevner et databeskyttelsesombud, altså en fysisk person som har i oppgave å kontinuerlig kontrollere behandlingen av personopplysninger. Omfanget av dette arbeidet er avhengig av mengden personopplysninger dere behandler – i enkelte tilfeller kan det for eksempel være nok med en innleid konsulent.

3.  Undersøk hvordan organisasjonen vil bli påvirket av forordningen, og finn de områdene dere må arbeide spesielt med.

En anbefaling er å gå ut fra at organisasjonen vil bli påvirket av GDPR. Kartlegg hvilke systemer hos dere som inneholder personopplysninger, og sett opp en oversikt over hvilke leverandører som behandler personopplysninger for dere.

Sørg for at dere har god nok sikkerhet med tanke på opplysningenes sensitivitet, uansett om dere håndterer systemene selv eller kjøper tjenester fra leverandører. For eksempel er et register med e-postadresser ikke like sensitivt som opplysninger om personer som har beskyttet identitet, eller helsedata.

I tillegg til å øke sikkerheten må organisasjonen justere dagens systemer og prosesser for å kunne ivareta rettighetene til den som er registrert (den som eier personopplysningen). Det innebærer at den som eier personopplysningen, skal kunne få vite hva som er registrert, korrigere feilaktige opplysninger, fjerne personopplysninger, og at eieren også har rett til å få personopplysningene sine flyttet.

Sørg for at dere har evne til å rapportere hendelser innen 72 timer til Datatilsynet. Hvis personopplysninger for eksempel har kommet i uriktige hender, skal det rapporteres. Ellers risikerer dere bøter. Mange av dere jobber nok allerede med håndtering av hendelser i dag, men sørg da for at håndteringsprosessen omfatter hendelser som har med personopplysninger å gjøre.

Dere trenger også tydeligere samtykke i forskjellige typer avtaler: Det skal være tydelig hva dere vil bruke personopplysningene til. Samtykket skal være forståelig, enkelt og tydelig.

4.  Dere bør allerede nå ta hensyn til bestemmelsene i databeskyttelsesforordningen når dere anskaffer nye IT-systemer og gjør endringer i dagens systemer. Det gir større mulighet for å følge reglene, øke sikkerheten og forhindre unødvendige kostnader i fremtiden.

Sørg for at sikkerhet og håndtering av personopplysninger inngår som en naturlig del av kravspesifikasjonen ved innføring eller endring av et IT-system. Det er også viktig at dataene fysisk lagres der lovgivningen stemmer overens med virksomhetens krav.

Risikoer med GDPR – naturlige fallgruver?

GDPR TeleComputing (2).jpg

Sørg for at dere har arbeidet med forberedelsespunktene ovenfor. Sørg for at dere virkelig får gehør hos både styret og ledelsen for å  kunne  gjennomføre de forandringsprosjektene som kreves. Dette må være forankret i hele organisasjonen.

Samtidig er det viktig å være bevisst på at GDPR innebærer flere krav og høyere bøter enn personopplysningsloven. Men hvis dere allerede har arbeidet aktivt for å følge personopplysningsloven, bør det ikke være en stor jobb å følge de nye kravene.

 

 

Tips og avslutning

Vi anbefaler at dere ser på GDPR som en mulighet til forbedring. Sikkerhetssystemer og metodikk som tas i bruk for å beskytte personopplysninger etter GDPR, kan (les bør) med fordel også brukes for å beskytte forretningshemmeligheter. Dette vil igjen føre til økt kontroll over informasjon, IT-systemer og virksomhetsprosesser. Arbeidet med GDPR kan enkelt tas i bruk på andre områder enn for å sikre personopplysninger. Dessuten er det en fordel at bedrifter og organisasjoner som ikke har arbeidet strukturert med informasjonssikkerhet tidligere, nå blir tvunget til det.

Til slutt: Samarbeid innenfor virksomheten og samarbeid med leverandører og partnere er en forutsetning for å lykkes i arbeidet med GDPR. 

Les mer på Datatilsynets sider om nye personvernregler 2018.

 

Nysgjerrig på skyløsninger med datalagring i Norden? 

Er dere bekvemme med å flytte informasjon som er avgjørende for virksomheten, langt bort når det finnes et nordisk alternativ? TeleComputing tilbyr sikre skytjenester som produseres fra et datasenter i Norge. Det er dermed omfattet av både europeisk og norsk lov.

Les mer om Microsofts nye lokale skyløsning.

kundenes egne historier: slik ble vi bedre med skytjenester

Legg igjen en kommentar

E-postadressen din blir ikke publisert.

Følg oss:

Erik Täfvander, Security, Event & BCM, Manager

Jag är nyfiken och engagerad i arbetet med att förbättra organisationers motståndskraft mot en växande hotbild av avancerad brottslighet, terrorism, naturkatastrofer och beroenden mot kritisk infrastruktur för att kunna bedriva sin verksamhet. Som chef för teamet Security, Event & Business Continuity Management på TeleComputing får jag vara delaktig i mina teams arbete med att hantera med det kända och förebygga det okända inom olika branscher och teknologier.