10 ting du MÅ vite om GDPR

GDPR har gjort sitt inntog i norske bedrifter, og mange er usikre på hva som forventes. Det er ikke så komplisert som du kanskje tror, du må bare begynne i riktig ende.

gdpr mann ser på regelverk

EUs forordning for personvern, The General Data Protection Regulation (GDPR), ble norsk lov i 2018. Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter knyttet til personvern. Som bedrift vil de nye lovene gripe inn på mange ulike nivåer. Tilpassing til disse nye reglene er overveldende for mange og vi håper derfor denne oversikten vil kunne hjelpe deg i gang.

Hva innebærer GDPR for deg?

Den nye personvernloven innebærer at alle norske virksomheter får nye plikter. Disse pliktene kan grovt sett oppsummeres i følgende punkter:

  • Alle skal ha en forståelig personvernerklæring
  • Alle skal vurdere risiko og personvernkonsekvenser
  • Alle skal bygge personvern inn i nye løsninger
  • Mange virksomheter må opprette personvernombud
  • Alle databehandlere får nye plikter
  • Alle får nye krav til avvikshåndtering
  • Alle må kunne oppfylle borgernes nye rettigheter

Les også: 17 begrep fra den digitale hverdagen 

gdpr på mobil

10 spørsmål om GDPR

For å komme i gang har vi samlet en liste med 10 spørsmål du må kunne svare på for din bedrift.

Når du vet svaret på disse, anbefaler vi å sette deg videre inn i Datatilsynets veiledere om de forskjellige temaene.

Forsøk først å finne svaret på disse spørsmålene:

  • Hvilke data er samlet inn i dag, hva er det egentlig behov for og hvor er dataene lagret?
  • Har vi en digital logg på hvordan vi skaffet oss samtykke, eksempelvis ved e-post første gang, eller hvordan samtykkets livshistorie har vært?
  • Samler vi bare inn et minimum av informasjon, eller altfor mye informasjon?
  • Er vi forberedt på henvendelser fra brukere som ønsker sletting eller redigering eller flytting av persondata? Har vi på plass rutiner for dette?
  • Vet vi hvordan vi kan ivareta backup slik at vi ikke laster inn igjen informasjon for en bruker som har ønsket sletting?
  • Brukes personnummer, medlemsnummer, mobilnummer, bilens registreringsnymmer eller annen sensitiv info som nøkkel mellom tabeller og systemer?
  • Vet vi hvordan vi lager pseudonymiserte, syntetiske data som kan brukes som testdata?
  • Er tilstrekkelig tilgangskontroll på plass til å sikre konfidensialitet til informasjonen internt i deres organisasjon?
  • Er Privacy by Default på plass i applikasjoner og systemutvikling?
  • Har vi vurdert hva brudd på databehandlingen kan resultere i for brukerne våre?
seo med google

Følg vår GDPR-sjekkliste

Din bedrift kan si at de følger reglene når de kan svare «ja» på følgende punkter:

  • Det er lovmessig grunnlag for all behandling
  • De registrertes rettigheter følges
  • Personopplysninger er tilstrekkelig sikret
  • Overføring av personopplysninger skjer kun lovlig
  • Det behandles ikke mer/flere personopplysninger enn man trenger
  • Det er tilrettelagt for lovlig behandling internt
  • Etablert rutiner for årlig vedlikehold og oppdateringer med påkrevet dokumentasjon

Som aktiv kunde hos oss kan vi hjelpe deg med å avdekke dine behov med tanke på GDPR, og legge en fremdriftsplan. Fyll inn skjemaet under, så setter vi gjerne opp et møte.