Laddar meny

GDPR: Hvordan komme i gang

25. mai 2018 trer EUs nye personvernsforordning i kraft, også i Norge. Da må din virksomhet være up to speed på personvernsikkerhet og databehandling, hvis ikke risikerer dere bøter på opptil 4% av den totale omsetningen. Det er ikke gøy.

Derfor må dere sette i gang nå og få kontroll på hva som skal til for at dere skal operere i henhold til lovverket. GDPR i Norge vil bli omfattende, men vi er heldigvis godt hjulpet av en allerede streng personvernlovgiving. 

Tiltaksplan for GDPR

Dette er de sentrale elementene i en prosess for å få oversikt over hvilke tiltak som må iverksettes. 

Kartlegging av prosedyrer og datafangst

Hvordan samler dere inn persondata? Hvilke prosesser involverer bruk av persondata? Hvem er involvert?  Hva brukes dataen til? Hvilke eksterne organisasjoner mottar for eksempel kundedata fra oss og hvordan sikrer de dem?

Dere må ha kontroll på alle prosesser som involverer persondata. Internkontroll. Kontroll på kundedata, ansattedata eller andre former for personopplysninger. Dere må kunne begrunne hvorfor dere har opplysningene og gjøre vurderinger om hva dere kan fjerne og hva som må sikres 

Kartlegging av programvare. Sårbarhetsanalyse

Med GDPR blir det veldig dyrt å ikke ta IT-sikkerhet på alvor, så dere må få kontroll på svakheter i IT-oppsett og programvare. Start gjerne med en sikkerhetsscan av systemet og kom i gang derfra.

Har dere programvare som har aksess til persondata så må dere også ha kontroll på sikkerheten i disse systemene og hvor den dataen tar veien. Her må man tenke helhetlig og sammensatt på teknologiområder som SIEM, Compliance, Sandboxing, Cloud, DLP, Kryptering, IAM osv. 

Denne delen av arbeidet er den mest krevende og der en gjerne vil avdekke behov for investering i både programvare og opplæring. 

Få kontroll på lovgivningen

Sett dere inn i regelverket! Vi vet at Datatilsynet oppfordrer til å utvikle bransjenormer og de er ikke på plass ennå, men du bør uansett sette deg inn i hvilke universelle krav som er i lovteksten og hvilke konsekvenser det vil ha for din virksomhet. 

datatilsynets nettsider finner du mange artikler om de nye reglene, blant annet en hendig pdf med et kjapt overblikk over EUs personvernregler.  

Compliance og utvikling av nye rutiner

Når du vet hva som kreves og hvor dere er i dag så blir det lettere for dere å se hva som må til for å tette gapet. Den jobben dere gjør i kartleggingen av hvordan dere håndterer persondata i dag, vil også gjøre jobben med å utvikle rutiner lettere.

 

Hva er personopplysninger?

Lovverket opererer med to ulike begreper om data knyttet til personvern: personopplysninger og sensitive personopplysninger.

 

Personopplysning er en opplysning som kan knyttes til deg som enkeltperson; navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).

 

Opplysninger om atferdsmønstre regnes også som personopplysninger. Eksempler på dette kan være hvor du handler, hva du handler, hvilke tv-serier du ser på, hvor du trener og hva du søker googler.

 

Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

 

Kilde: Datatilsynet

 

Det er verdt å fremheve enkelte tiltak som vil bli viktige under GDPR:

 

  • Dere bør/må ansette et personvernombud. Personvernombudet skal informere og gi råd til virksomheten og de ansatte i saker som handler om personvern og være kontaktpunktet mellom virksomheten og Datatilsynet.
  • Dere må lage en personvernerklæring som på en forståelig og lett tilgjengelig måte forklarer hvordan din virksomhet behandler personopplysninger
  • Overvåkning av IT og varsling ved sikkerhets brudd. Det vil bli mye større krav til hurtig varsling ved sikkerhetsbrudd som kan ha blottstilt personopplysninger .
  • Datatilsynet ønsker at en samarbeider om bransjenormer, som de så godkjenner. Det er derfor en god ide at dere engasjerer dere i nettverk og bransjeforeninger slik at dere får litt drahjelp mot compliance.

Den største jobben vil antagelig bli å få organisasjonen og alle ansatte i den til å ta personvern på alvor. De må forstå nødvendigheten av rutinene og konsekvensene av å ikke følge dem.

 

Det blir store konsekvenser for flere yrkesgrupper:

Atea kan hjelpe!

GDPR krever forståelse av både det tekniske og det forretningsmessige. Din virksomhet må klare å håndtere personvern uten at det ødelegger for verdiskapingen, og det krever at dere gjør de riktige grepene

Atea har rådgivere med bred erfaring og kunnskap innenfor både lovverk, teknologi og forretning. Vi har Norges største fagmiljø innen både IT-sikkerhet og forretningssystemer, og har god forståelse for hvordan teknologiene kan hjelpe din virksomhet til å beskytte personvernet og etterfølge GDPR-lovgivningen.

25. Mai 2018 er ikke lenge til. Ta kontakt med oss i dag, så kommer vi i gang med arbeidet så raskt som mulig.

 

Kontakt nærmeste Atea- kontor for å gjøre avtale om sikkerhetsscan.

 

Snakk med en av våre rådgivere om GDPR 







Atea.no oppfattes bedre hvis du oppdaterer nettleseren din. Her finner du en ny versjon av Internet Explorer