Hva er GDPR?

GDPR (forkortelse for General Data Protection Regulatory), er EU sin nye forordning for personvern og trer i kraft fra 25.mai 2018.Kort oppsummert er dette nye regler som gir oss en lang rekke rettigheter når noen vil lagre informasjon om oss, deriblant:

  • Rett til å vite hva som blir lagret
  • Rett til å gi samtykke før det brukes til andre ting enn det som er strengt nødvendig
  • Rett til å korrigere informasjon
  • Rett til å bli glemt
  • Rett til å ta med seg dataene sine
  • Rett til å ikke bli automatisk profilert

Lov om personvern er ikke noe nytt, men de nye reglene strammes inn ytterligere, og det legges mer makt bak kravene. En av truslene er bøter på opptil 4 % av total omsetning for virksomheter som ikke følger regelverket.

GDRP har som intensjon å tvinge bedriftene til å tenke på personvern både i nye og eksisterende løsninger, samt å etablere gode rutiner både for lagring og bruk av personopplysninger. Regelverket er selvsagt ikke til for å hindre bedrifter i å drive forretning og markedsføring, men skal gi oss tydelige retningslinjer for hvordan dette kan gjøres. Samtidig skal dette gi oss som enkeltpersoner en rett til kontroll over opplysninger om oss selv.

Hvem gjelder GDPR for?

Den nye forordningen er laget for å ivareta personvernet til enkeltpersoner, forhindre at bedrifter samler inn og lagrer mer informasjon enn nødvendig og bruke opplysningene til formål personen ikke har samtykket til.

Alle som samler inn, oppbevarer eller behandler personopplysninger i eller fra et EU-land, er berørt av forordningen. Dette gjelder praktisk talt alle norske bedrifter, og alle norske bedriftsledere må gjøre en vurdering av hvordan deres bedrift møter kravene. Kravene til personvern berører de fleste avdelingene i en bedrift, det er derfor ikke bare et IT spørsmål. Direktivet tar derfor ikke bare for seg bare elektronisk lagrede personopplysninger, men omfatter f.eks alt som finnes på papirformat, det være seg visittkort, spørreskjemaer og adresselister på papir. Dette fører til at man må etablere rutiner og forhåndsregler knyttet til papirarkiver, dokumenter som ligger på skrivebord, papiravfall etc. Med dette for øye er det slik at GDPR er noe hele bedriften må forholde seg til, ikke minst ledelsen i bedriften.

Er du i bransjen som utvikler IT-løsninger som andre skal bruke, må man dessuten ta egne forhåndsregler.

Når alt dette er sagt er det også viktig å se fordelene med den nye forordningen, dette kan være en aktiv pådriver for innovasjon, og selv om forordningen utvilsomt fører til merarbeid for de fleste bedrifter, er det grunnleggende positivt med bedre personvern.

Lurer du på mer, anbefaler vi deg å gå på sidene til datatilsynet, her finner du mer nyttig informasjon.

Hva må gjøres for å møte de nye kravene til GDPR:

1; Skaff dere en god oversikt over hvilke personopplysninger dere behandler

Dette er et krav også i dag. En god oversikt over hvilke personopplysninger som samles inn eller brukes, hvor de kommer fra og hva dere trenger opplysningene til er alfa og omega i denne sammenheng. Les mer om hva som er personopplysninger.

2; Sørg for å oppfylle dagens lovkrav

Dersom dere følger dagens regelverk ifht personvernloven så vil ikke overgangen være uoverkommelig. Skulle det vise seg at det avdekkes større mangler ifht loven, kan det likevel være mindre arbeidskrevende å ta et skippertak først som sist, for å være sikker på at dere møter det nye regelverket.

3; Sett dere inn i det nye regelverket

Den nye forordningsteksten både i original og i (uoffisiell) norsk oversettelse finner du på Datatilsynets nettsider. Det vil kreve litt å jobbe seg gjennom teksten, men det er viktig å ha oversikt over hvilke deler av regelverket som treffer din bedrift og opplysningene dere håndterer.

4; Lag rutiner for å følge de nye reglene

Å ha gode rutiner går aldri av moten. Vi anbefaler at dere går gjennom dagens rutiner for behandling av personopplysninger, enten de er skrevet ned eller ikke, og oppdater dem etter nytt regelverk der det trengs. Sørg for å dokumentere de nye rutinene, og legg en plan for nødvendige endringer. Sjekk at systemene deres er laget for å ivareta kravene til innebygget personvern, dataportabilitet og personvern som standardinnstilling.

Kom i gang med GDPR

GDPR (General Data Protection Regulation) handler om;

  • Å ha oversikt over hvilke personopplysninger bedriften behandler

  • Å sørge for at bedriften har grunnlag for å behandle personopplysningene

  • Å sørge for at opplysningene blir behandlet på riktig måte.

Etabler en intern prosjektgruppe

For å lykkes med implementering av GDPR i organisasjonen kan det være lurt å involvere ulike deler av organisasjonen som f.eks IT, HR, ledelsen og marked. Dette er det flere gode grunner til, bl.annet:

Kunnskap:De ansatte kjenner systemene godt og har gode forutsetninger for en rask kartlegging

Valg av IT-systemer:Det kan være behov for å gjøre endringer på IT-systemer og for en smidig overgang er det viktig at de ansatte forstår behovet og blir involvert i prosessen.

Rutiner:Det er de ansatte som skal følge rutingene som etableres og involvering i prosjektet kan sikre god gjennomføring på sikt.

I tillegg til å benytte interne ressurser kan det også være et behov for å benytte ekstern kompetanse, dette for å sikre at man forstår innholdet i direktivet, hvordan det berører din bedrift og at det gjøre de rette tiltak for å møte direktivet. Det kan være en større prosess å kartlegge bedriftens systemer, men gevinsten av å inkludere ansatte i prosessen skal ikke undervurderes. Samtidig med kartleggingen av egne systemer kan det også være en fin anledning til å vurdere bedriftens arbeidsprosesser og systemer. Det kan ligge mye innsparinger og økte inntekter ved å digitalisere manuelle prosesser.

Kartlegg bedriftens interne systemer

Gjennom å kartlegge de systemene bedriften benytter skaffer man seg også ekstra oversikt og innsikt. Når GDPR-prosjektet er etablert vil neste steg være å gå i gang med kartlegging og dokumentasjon. Man trenger en oversikt over alle systemer og må dokumentere blant annet hva som ligger i systemene og hvorfor det er nødvendig.

Hvilke spørsmål er viktige å stille seg (NB; ikke en komplett liste) i kartleggingsfasen;

  • Inneholder systemet persondata?
  • Hvem har ansvaret for systemet internt?
  • Hvorfor trenger man systemet?
  • Hvem er behandlingsansvarlig og hvem er databehandler?
  • Hva gjør systemet med dataene og hvilke andre systemer har tilgang til dataene?
  • Hva er det lovmessige grunnlaget for at vi behandler dataene? (har vi lov til å behandle de?)
  • Hvor lagres dataene? (Innland/utland. Dersom utland: hva er grunnlaget for eksport?)
  • Finnes det rutiner for sletting?
  • Er det gjennomført en risiko og sårbarhetsanalyse på systemet?

GDPR stiller krav til god datakvalitet

Bakgrunnen for kartlegging av systemer og data er å få oversikt og innsikt i bedriftens infrastruktur, hvilken data man har og hvor den ligger lagret. Man må deretter vurdere om bedriftens infrastruktur er god, hvilken data man har grunnlag for å lagre og legge en god strategi for hvordan man skal sikre at dataene er trygge og oppdaterte. Snakk gjerne med din IT-leverandør om valg av strategi, f.eks masterdata strategi, der ett system er master for flere systemer og at man eventuelt kutter unødvendige systemer. En bedre oversikt og datakvalitet legger til rette for innovasjon i bedriften. Det vil kunne ha klare fordeler for salg og marked i form av en mer effektiv og målrettet kommunikasjon, som både kunder og bedrifter er tjent med.

Krav til dokumentasjon

Data som lagres skal enten være relevante for gjennomføring av transaksjonen, være lovpålagt eller baseres på et samtykke fra eieren av opplysningene. Bedrifter må selv dokumentere og argumentere for hvorfor de lagrer aktuell informasjon på kunden. Når det gjelder bedrifter som handler med andre profesjonelle bedrifter (business-to-business) er det viktig å huske på at en bedrifts informasjon ikke er persondata, men eksempelvis navn, telefonnummer og e-postadresse på en ansatt er å regne som persondata. Den må være oppdatert og korrekt og det må foreligge grunnlag til hvorfor den lagres. Det stilles strengere krav til sensitive opplysninger.

Krav til sikkerhet

Hovedintensjonen med GDPR er å sikre at personer får større kontroll på hvordan deres informasjon lagres og brukes, samt retten til å bli glemt eller slettet. Samtidig er det viktig å definere hvem som har ansvaret for dataene, hvem som har tilgang og at det er tatt nødvendige forhåndsregler for å hindre at kriminelle får adgang. Risikoanalyse ved implementering av nye systemer og et klart definert ansvar for dataene står sentralt, og den nye loven åpner for å gi betydelige bøter ved brudd.

Analyse av situasjonen og iverksetting av rette tiltak

Etter å ha gjennomført en analyse i bedriften og skaffet seg en god oversikt over hvilke systemer man har og hvilke data man behandler er det på tide å definere hva som evt. gjenstår for å tilfredsstille kravene i GDPR. Når avviket er definert må man iverksette tiltak, lage dokumentasjon og etablere gode rutinger for å sikre at kravene overholdes i fremtiden. Det viktigste er ikke at man er 100 % i mål 25. Mai 2018, men man må ha kommet et godt stykke på vei og kunne dokumentere dette.

I forbindelse med GDPR er det viktig å ha klart for seg hvilke opplysninger som kvalifiserer som personopplysninger

Hva er personopplysninger?

Forordningsteksten definerer «personopplysninger» som «enhver opplysning om en identifisert eller identifiserbar fysisk person», det vil si alle opplysninger som er knyttet til en enkeltperson.  

I de fleste tilfeller er det ikke enkeltopplysninger som vil være krevende å håndtere, men flere opplysninger i samlede sett som gjør at man kan identifisere hvem opplysningene gjelder. Det kan også være situasjonsbetinget – ved at opplysninger om ansatte (for eksempel alder) i en spesifikk bedrift ikke kan identifisere enkeltansatte pga bedriftens størrelse, mens de samme opplysningene om ansatte i mindre bedrifter gjør det enkelt å identifisere de ansatte, særlig i sammenheng med andre opplysninger. 
 
Noe som kompliserer bildet er at finnes en rekke opplysninger om bedriften eller avdelinger i bedriften som ikke er knyttet til en enkeltperson, men kan forveksles med personopplysninger, som felles epostadresser, telefonnumre, kontonumre, adresser og statistiske data (for eksempel demografi, gjennomsnittsalder) etc. Selv om ikke GDPR dekker behandling av opplysningene, er det viktig å huske på at også annet regelverk som også kan regulere hvordan man kan bruke disse opplysningene, så det er ikke uten videre fritt frem, selv om de formelle kravene til håndtering og behandling kan være forskjellige. 
 
Det er åpning i forordningen for «pseudonymisering», det vil si å fjerne koplingen mellom opplysningene og den identifiserbare personen. Pseudonymisering kan være særlig aktuelt til statistiske formål eller i testmiljøer der man trenger realistiske data for å sjekke løsninger, men det ikke er avgjørende at opplysningene er 100% korrekte.

Hvilke krav stilles til dokumentasjon

Personopplysningsloven stiller allerede i dag krav til virksomheter om at de skal drive internkontroll og dokumentere informasjonssikkerhet knyttet til personopplysninger. Som en følge av dette, må bedriften ha oversikt over bl.annet: 

  • Hvilke personopplysninger samles inn?
  • Hvem samles personopplysningene inn fra?
  • Hvorfor samles personopplysningene inn?
  • Hvordan samles personopplysningene inn?
  • Hvilken lovhjemmel/avtale/kontrakt definerer formålet for innsamlingen?
  • Hvor lagres personopplysningene?
  • Hvem har tilgang til opplysningene?
  • Hvordan sikrer man at uvedkommende ikke har tilgang til opplysningene?

Hvem håndterer bedriften opplysninger om?

Dette kan f.eks være: 

Ansatte

Her må det håndteres opplysninger om dine ansatte, både som personlige opplysninger og opplysninger relatert til den ansattes jobb. 

Innleide/konsulenter

Mange av de samme opplysningene vil også gjelde evt. innleide konsulenter og andre som jobber hos eller for bedriften. Dette inkluderer f.eks vaktmestertjenester, vaskefirmaer, håndverkere, foredragsholdere, i tillegg til andre fagfolk som bidrar til bedriftens kjernevirksomhet etc. 

Tidligere ansatte

Mens terskelen for å samle og lagre informasjon er lav, er terskelen for å slette den igjen tilsvarende høy. Mange bedrifter har mye informasjon om tidligere ansatte. Det kan være gode grunner for dette, men bedriften bør ikke ta vare på informasjonen lenger enn de strengt tatt må. 

Leverandører

Enten bedriften videreselger varer/produkter/tjenester eller bare bruker dem selv, har de fleste bedrifter leverandører, og gjerne en kontaktperson. Her inkluderes alt fra leverandører av IT-utstyr, telefoni, kontorrekvisita/møbler, regnskap/revisjon til produksjonsmateriell, markedsføring etc. 

 

Partnere

Noen bedrifter samarbeider med andre, enten det er formelt eller uformelt, og da har man gjerne informasjon om dem man jobber sammen med.

Myndigheter/offentlige etater

Alle bedrifter har en eller annen relasjon til det offentlige, og noen jobber tettere med enkeltpersoner i offentlige etater og myndigheter. 

Nåværende kunder

Mange bedrifter lagrer også informasjon om kundene, med god grunn. 

Tidligere kunder

På samme måte som med tidligere ansatte, er terskelen for å slette informasjon om tidligere kunder høy. Det kan jo hende kunden kommer tilbake, og det kan være nyttig at informasjonen ligger lagret. 

Potensielle kunder

De fleste bedrifter jobber for å få flere kunder, og samler derfor informasjon om potensielle kunder for markedsføringsformål. 

Hvilke systemer lagrer personopplysninger?

Dette kan vi grovt sett dele inn i 3 steder der man lagrer personopplysninger:

Strukturerte IT-systemer

Ment for lagring og håndtering av personopplysninger. Dette kan f.eks være kundedatabaser, CRM-systemer, ERP-systemer, lønnssystemer, regnskapssystemer osv.

Ustrukturerte systemer.

Systemer som ikke i utgangspunktet er ment for lagring. Dette kan f.eks være epost-bokser, regneark, kalendre, mange typer dokumenter etc

Papirbaserte dokumenter.

Dette kan f.eks være visittkort, papirbaserte arkiver, bestillinger, pakksedler, bilag, kvitteringer og sågar Post-it lapper med informasjon påskrevet.

I tillegg til dette har mange bedrifter tidligere datasystemer som ikke lengre er i bruk, men som inneholder personopplysninger og derved omfattes av personopplysningsloven. Se for øvrig datatilsynets veiledning om personalmapper.

https://www.datatilsynet.no/rettigheter-og-plikter/personvern-pa-arbeidsplassen/personalmappe/

Hvilke opplysninger trenger bedriften å håndtere?

Under følger noen eksempler for gruppering av de ulike typer opplysninger:

Sensitive opplysninger.

Dette er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger. Det er særskilte krav til behandling av sensitive personopplysninger, dekket av personopplysningsloven §§ 8 og 9.  

Lovpålagte opplysninger.

De færreste lover og forskrifter gir direkte pålegg om lagring eller behandling av spesifikke opplysninger, men en del opplysninger må nødvendigvis lagres eller behandles for å kunne oppfylle andre lovkrav: Bedriften må ha en del opplysninger om sine arbeidstakere, som navn, personnummer, adresse og kontonummer, fordi den skal rapportere opplysninger til skattemyndighetene. 
 
Enkelte bransjer har også særskilt krav om personallister med navn og fødselsnummer, med det formål å motvirke svart arbeid, og en del andre lover med tilhørende forskrifter kan legge føringer på opplysninger som må samles inn og behandles for at virksomheten kan drive lovlig. Eksempler på dette er bokføringsloven, helseregisterloven, regnskapsloven, arkivlova, offentlighetsloven og diverse lover som regulerer finansvirksomheter. Noen av disse lovene vil dessuten gå på tvers av hverandre – for eksempel vil deler av arkivloven kunne overstyre personopplysningsloven. Datatilsynet har en oversikt over en del av lover og forskrifter som omhandler personopplysninger, men heller ikke denne er komplett.

Nødvendige opplysninger.

Bedriften må nødvendigvis lagre opplysninger som kreves for at den ansatte skal få gjort jobben sin, f.eks. epostadresse og telefonnummer, eller at en kunde skal få varen eller tjenesten de har kjøpt – som navn og adresse, og evt. kontaktinformasjon dersom noe ikke går etter planen. 

Kjekt-å-ha-opplysninger

Dette er opplysninger som strengt tatt ikke er nødvendige, men kan være praktiske f.eks. for statistikk eller markedsføring. Typisk er dette opplysninger det vil kreves samtykke for å lagre og behandle. 

Unødvendige opplysninger

Dette er opplysninger som bedriften ikke trenger, og derfor kan slettes. De er derfor svært viktige å kartlegge, siden de ikke skal oppbevares.
 
Det er svært viktig å gjøre denne sorteringsjobben grundig, for det er her grunnlaget for fremtidige rutiner legges, og i en senere artikkel vil vi komme med konkrete metoder for å gjøre dette arbeidet.

Fulford Pettersen & Co Advokatfirma DA

Vi har benyttet fasttelefoni basert på hussentral i mange år. I 2015 stod vi foran valg mellom å skifte den ut eller foreta en forholdsvis kostbar oppgradering.

Dette ville i så fall kun blitt en midlertidig løsning da det ville dukke opp begrensninger i fremtiden. Vi ville derfor undersøke flere muligheter.

Netsolution ble da valgt som rådgiver og leverandør

Valget falt på Mobilt Bedriftsnett fra Telenor, som er satt opp og blir supportert av Netsolution. De håndterer alt av evt. endringer i løsningen, tillegg, abonnementer og service for oss, og dette har fungert veldig bra.

Løsningen er bra, dekningen er bra og service fra Netsolution er utmerket.

Gry Olavsbråten, kontorleder