12 tips - slik etterlever du GDPR
De fleste virksomheter er for lengst i gang med å implementere løsningene som må til for å etterleve EUs nye personvernsforordning (GDPR). Samtidig oppleves personvern som komplisert og lite oversiktlig når man skal ta forretningsmessige avgjørelser som berører personvern. Virksomhetene må få personvern inn som en naturlig del av organisasjonen og den daglige driften – få på plass en kultur for etterlevelse.
For å skape digital tillit internt i selskapet og til omverdenen, må man jobbe med mer enn systemer, forteller Gry Hvidsten.
Gry er Specialist Counsel i Wikborg Rein, og har i flere år bistått klienter i offentlig og privat sektor med problemstillinger knyttet til personvern og digitalisering.
- Mange bedrifter begynner å opparbeide seg kompetanse på personvern, og har fått på plass forretningsløsninger for å holde styr på data. Det er en god start, men personvernarbeidet blir både enklere og gir bedre resultater for bedrifter hvis man ser på GDPR som mer enn bare nye systemer og dokumenter. Den digitale tilliten skapes når hele bedriften klarer å vurderer personvernsrelaterte spørsmål når de skal ta de viktige forretningsmessige avgjørelsene i det daglige, forteller Gry.
Ifølge Gry er det ikke alltid ett åpenbart svar når virksomheten skal vurdere lovligheten av ulike tiltak hvor personopplysninger blir behandlet. Regelverket inneholder en rekke krav og det kan være krevende å håndtere konkrete spørsmål, eksempelvis om det er anledning til å innføre et bestemt tiltak for å ivareta informasjonssikkerheten i virksomheten eller for å effektivisere arbeidsprosesser.
- Et tiltak mot cybertrusler, kan for eksempel være at man ønsker å igangsette en phising-kampanje i egen virksomhet. Da sendes det ut "test-eposter" for å trene de ansatte, og på den måten øker selskapets motstandsdyktighet mot faktiske cyberangrep. Spørsmålet virksomheten da må vurdere, er om et slikt tiltak vil være "innafor" fra et personvernsståsted.
For å gjøre det enklere, har Gry en liste med 12 spørsmål for å vurdere og kontrollere lovligheten av en behandling av personopplysninger. Listen er verken absolutt eller utømmelig, men et veldig godt utgangspunkt for å sikre en forsvarlig avgjørelsesprosess og sjekk opp mot regelverket.
- Hva er formålet med behandlingen/bruken av personopplysninger?
- Hvilke personopplysninger vil bli behandlet?
- Hvordan skal personopplysningene brukes?
- Er tiltaket nødvendig og forholdsmessig?
- Hvem skal ha tilgang til personopplysninger?
- Hva er risikoen knyttet til behandlingen?
- Er ansattes rett til informasjon ivaretatt?
- Hvordan vil personopplysningene bli sikret?
- Vil ekstern databehandler benyttes?
- Overføres personopplysninger ut av EU/EØS?
- Hvilke systemer benyttes?
- Innebærer behandlingen et kontrolltiltak etter arbeidsmiljøloven?