De nye personvernreglene (GDPR) som snart trer i kraft gir flere og strengere plikter enn før. EUs forordning for personvern er det som skal erstatte det vi i dag kjenner som personopplysningloven.

Reglene trer i kraft i mai 2018, og gir Datatilsynet muligheten til å gi opptil 20 millioner Euro i bot eller enda mer for selskaper med stor global omsetning, til de som bryter loven.

Men selv om de nye reglene kan virke overveldende, er det mye du og din bedrift kan gjøre allerede nå for å være klar til endringene trer i kraft. 

Sjekkliste: er du klar for GDPR?

Her er sjekkliste som din bedrift kan følge for å få et best mulig utgangspunkt for å være klar til endringene. Se om din bedrift er klar!

1.Følg reglene som allerede eksisterer
Sett deg inn dagens regelverk. De nye reglene gir mange endringer, men mye er gjort hvis bedriften din begynner å følge reglene som allerede foreligger. 
 
2.Kartlegg bruk av personopplysninger
Bedriften din må skaffe en fullstendig oversikt over hvilke personopplysninger dere sitter på. Dette kan være alt fra e-postlister, kundelogger til interne notater som gjelder enkeltpersoner. Dere må deretter kartlegge når og hvordan og opplysningene brukes, formålet og hvilke opplysninger som brukes.
 
3.Har du lov til å bruke opplysningene?
Deretter må dere vurdere om bedriften har gyldig behandlingsgrunnlag. Det vil si om opplysningene kan brukes. Dette kan være lovhjemmel, samtykke fra den registrerte eller en gyldig nødvendighetsgrunn. Et eksempel på gyldig nødvendighetsgrunn kan være at arbeidsgiveren må ha kontonummeret til en ansatt for å kunne betale lønn.  
 
4.Risikovurdering og informasjonssikkerhet
Enkeltpersoner skal føle seg helt sikre på at opplysningene om han eller hun ikke blir misbrukt. Bedriften din kan forsikre den registrerte om dette ved å sørge for tilgjengelighet, integritet og konfidensialitet.
 

Tilgjengelighet vil si at personopplysningene skal være tilgjengelige for det formålet de er tiltenkt, og at enkeltpersoner enkelt kan få innsyn i opplysningene som er lagret om han eller henne. Bedriften må bare bruke opplysningene til tiltenkt formål, og ha backup der det er nødvendig.

Integritet betyr i dette tilfellet at opplysningene er korrekte og sikret mot at uautoriserte kan endre dem. I tillegg må det være tiltak mot ødeleggende programvare.  

Konfidensialitet sikres ved å ha gode rutiner for at uvedkommende ikke får innsyn, og for eksempel at opplysninger som sendes elektronisk utenfor behandlingsansvarliges kontroll krypteres.

Risikovurdering vil si at virksomheten vurderer faren for at et sikkerhetsbrudd kan inntreffe, og mulige konsekvenser for de registrerte hvis det skjer. Dette kan handle om alt fra hacking av databaser til feilsendte e-poster.

5.Lag rutiner for internkontroll
Dette er noe av det viktigste bedriften din kan gjøre. Rutiner for internkontroll vil si rutiner som sikrer at virksomheten overholder reglene om personvern – herunder innhenting og kontroll av opplysninger, vurdering av formål med behandlingen, oppfølging av avvik, behandling av innsynsbegjæringer, behandling av krav om reservasjon eller sletting. Denne internkontrollen må dokumenteres. 
 
Suzanne.jpgTEKST: Suzanne Brattheim er rådgiver i Sticos AS på avdeling for personalsaker. Suzanne er utdannet jurist, og har arbeidsrett og allmenn juss som fagområde. Sticos er ledende på faglige oppslagsverk og holder HR- og regnskapsbransjen oppdatert på lover og regelverk. www.sticos.no
Sticos tilbyr også kurs for en innføring i endringene og de verktøyene som trengs for å ikke risikere bøter.