Få på plass GDPR i virksomheten!

 

GDPR står for General Data Protection Regulation.  Denne er ment for å beskytte og ivareta opplysninger som bedrifter, foreninger, idrettslag, borettslag, organisasjoner og andre samler inn av personopplysninger og data.

 Det er viktig at man har et forhold til GDPR, internt og eksternt, og at man er klar over hvilken risiko virksomheten utsettes for ved å ignorere lovkravene som gjelder i forbindelse med personvernordningen. Det er Datatilsynet som agerer med sanksjoner og bøter overfor virksomhetene dersom loven om personvern ikke overholdes.

 Man må også tenke på renommè og tillit hos dine ansatte, kunder, leverandører og øvrige samarbeidspartnere om personopplysninger kommer på avveie.

Som virksomhet kan man kan ikke velge eller unnlate å ta personvernet på alvor. Uten å dokumentere at GDPR gjennomføres i virksomheten, så bryter du altså loven.

 Om du føler at du ikke har god nok kompetanse til å få på plass  GDPR, så kan vi  med våre veiledere, sjekklisterdokumenter, internkontroll og lovhenvisninger bistå for å få dette dokumentert i virksomheten. Vår metodikk for innføring av GDPR leveres i henhold til Datatilsynets føringer for hvordan GDPR skal utføres i virksomheten.

 Våre tjenester:

  • Leveranse av GDPR og varslingsrutiner til virksomheter med dokumenter, erklæringer, veiledere, internkontrollsystem mm.
  • Bistand knyttet til spørsmål og fortolkninger rundt loven om personvernordningen. (Kontaktledd mot Datatilsynet og juridisk personell). 
  • Kvalitetssikre virksomhetens nåværende rutiner rundt GDPR og varslingsrutiner.
  • Leveranse av dokumentmaler og skjema for ledere, styret og rådgivere gjennom nettjenesten www.leder1.no.
  • Utarbeidelse av databehandleravtaler. 

 Benytt vårt kontaktskjema for å starte dialog med oss om bistand rundt GDPR. Alle henvendelser og informasjon vi mottar behandles konfidensielt. 

 

 


 

Databehandleravtale

 

Det skal etableres en databehandleravtale når det er en virksomhet som sender ut markedsføring på vegne av deg selv (f.eks. nyhetsbrev), eller at det er en virksomhet som på vegne av deg lagrer personopplysninger på en eller annen måte via skytjenester, som regnskapsføring, fakturaprogram, personalprogram og når du bruker konsulenter (ikke ansatte) som har tilgang til personopplysninger.

Behandlingsansvarlig er virksomheten, og er den bestemmende part når det gjelder ansvar, formål og behandling av personopplysninger.
En som behandler personopplysninger på vegne av en behandlingsansvarlig kalles en databehandler

Man skal også være klar over at en databehandler kan benytte underleverandører til å behandle opplysninger. I slike tilfeller må det også foreligge en databehandleravtale mellom databehandleren og underleverandøren.

Det er flere krav til hvordan en databehandleravtale skal inneholde. Blant annet gjelder dette behandlingsansvarlige sine rettigheter og plikter, samt databehandler sine forpliktelser. En databehandleravtale kan også inneholde flere vilkår enn det som er lovkravet. Kort sagt: Avtalen må altså tilpasses etter hvordan personopplysninger behandles.

Dersom det ikke foreligger en databehandleravtale, så uttaler Datatilsynet at det er å anse som et alvorlig brudd på loven, og det er behandlingsansvarlig (virksomheten) og databehandleren (den som behandler opplysninger på vegne av deg) som får sanksjoner og bøter dersom loven ikke overholdes.



Spørsmål og svar om GDPR

Er GDPR pålagt i alle virksomheter?

Ja, så fremt virksomheten, “stor eller liten”, behandler og oppbevarer personopplysninger på klienter, ansatte, medlemmer og andre, så er man pålagt å følge loven om personvern. Det er knapt mulig å drive en virksomhet uten å behandle personopplysninger, så dette gjelder praktisk talt alle.
Loven innebærer at virksomheten har en større informasjonsplikt, og ikke minst dokumentasjonsplikt når det gjelder å oppbevare personopplysninger. Datatilsynet krever rett og slett at du følger loven ved å dokumentere at den blir overholdt.

Hvilken dokumentasjon må jeg ha ved eventuell kontroll fra Datatilsynet?

Først og fremst; dokumentasjon er det første Datatilsynet ber om – og gjennomgår ved et tilsyn i virksomheten. Dokumentasjonen er viktig å ha på plass for å redusere risikoen for at virksomheten bryter loven og unngår overtredelser, bøter og omdømmetap.  Du må sørge for at virksomheten har tilstrekkelig dokumentasjon, og verktøy i form av for eksempel erklæringer og internkontrollsystem/protokoll som kan framvises ved kontroll eller etterspørsel.

Kan min virksomhet bli klaget inn til Datatilsynet  om jeg ikke har GDPR?

Ja, virksomheten kan bli klaget inn til Datatilsynet. Først og fremst så er det viktig å nevne at det er lovpålagt å innføre GDPR i virksomheten slik at du viser overfor ansatte, klienter og andre at du ivaretar deres sikkerhet i forbindelse med personvern. Dette kan du ikke som virksomhet unnlate å gjøre, og man må selvsagt sørge for at man ikke blir klaget inn til Datatilsynet og bli påført sanksjoner. Det handler altså om å følge lovverket.
Ved brudd på loven om personvernet, så kan både klienter, samarbeidspartnere, ansatte og andre klage virksomheten inn til Datatilsynet.

Kan regnskapskontoret mitt ordne GDPR for meg?

Regnskapskontor utfører normalt ikke leveranser av GDPR – dokumentasjon, så det er svært tvilsomt at de kan hjelpe deg. Regnskapskontor har selv sine forpliktelser med å overholde GDPR og personvernordningen på lik linje med andre virksomheter. I tillegg behandler også regnskapskontor opplysninger på vegne av andre. I den forbindelse må de sørge for å benyttedatabehandleravtaler på sine EGNE klienter. Når det er sagt så kan du få god støtte fra advokater eller revisjonsselskaper, men dette kan ofte være dyrt. Du kan også benytte deg av eksternt personvernombud.

Hva er rettighetene til en person som vi oppbevarer opplysninger på?

Med den nye loven har personer vesentlige rettigheter. Ved forespørsel så er virksomheten for eksempel forpliktet til å gi fra seg all informasjon som er registrert på en person. Dette er personens innsynsrett. Likeledes kan personer be om å bli slettet eller at informasjonen som oppbevares skal begrenses, endres eller overføres til andre virksomheter. Ved henvendelser fra personer, så må du altså ha “ting på stell” i virksomheten.

Er det behov for personvernombud i virksomheten? 

Flere offentlige myndigheter og organer er pålagt å opprette eget personvernombud. I tillegg er også mange virksomheter pålagt å ha eget ombud, dersom det behandles svært sensitive personopplysninger. Det anbefales av Datatilsynet at alle virksomheter oppretter eget personvernombud.
Ved å benytte eksternt personvernombud,  får dere ytterligere kontroll med GDPR arbeidet i virksomheten, samtidig som det frigir ressurser og ikke minst tid.

Trenger jeg GDPR når jeg ikke har hjemmeside? 

JA, selv om du ikke har hjemmeside i virksomheten, har du et ansvar så fremt du behandler personopplysninger på klienter, medlemmer, ansatte og andre. Hjemmesiden er en av kanalene man må benytte for å opplyse om personvernet, for eksempel mot klienter og andre som henvender seg via en hjemmeside. Har du ikke egen hjemmeside, så må opplysninger om personvernet til klienter og andre som henvender seg til virksomheten framkomme på annen måte. Kort sagt; om du ikke har hjemmeside, så kan du ikke fraskrive deg ansvaret du har som virksomhet når det gjelder GDPR.

Trenger jeg GDPR når jeg tar vare på “bare noen få” personopplysninger?

JA, selv om du bare samler inn få personopplysninger må du uansett  ha GDPR i virksomheten.
Man kan gjerne tenke at man som virksomhet oppbevarer lite opplysninger, men gjør du egentlig det? Behandler man opplysninger på ansatte, klienter og andre, så oppbevares det ofte mye sensitiv informasjon.

Hva er et sikkerhetsbrudd?

Et sikkerhetsbrudd kan forekomme dersom:

– Virksomheten ikke har fullstendig oversikt over behandling av personopplysninger.

– Ikke autoriserte personer får tilgang til personopplysninger.

– At en ansatt bevisst, eller ubevisst, videresender informasjon som er av sensitiv art.

– At du eller en ansatt blir frastjålet, mister eller har forlagt en telefon, PC, minnepenn, ansattperm eller en klientperm som inneholder personopplysninger.

– Hackerangep / dataangrep som gjør at opplysninger kommer på avveie.

– At det mangler databehandleravtale.

– Å kaste eller kvitte seg med personopplysninger uten at disse makuleres eller slettes.

Dersom et sikkerhetsbrudd oppstår er du som virksomhet pålagt å melde inn dette til Datatilsynet innen 72 timer.  De fleste sikkerhetsbrudd som skjer, er utenfor kontroll for virksomheten selv. Det er derfor viktig å følge lovverket, og samtidig sørge for å ha gode rutiner og verktøy på plass innen GDPR og personvernordningen.

Trenger jeg databehandleravtale?

Du som virksomhet, og som benytter virksomheter som behandler personopplysninger på vegne av deg, må opprette en databehandleravtalefra de det gjelder. (Dette kan være regnskapskontoret, IT leverandører, programvareleverandører og andre).

Databehandleravtale trenger du som virksomhet dersom du på vegne av andre virksomheter behandler personopplysninger. Databehandleravtale kan f.eks benyttes for programvaretilbydereIT leverandørermarked- og reklamebyråhjemmesideleverandører og regnskapskontor.
De som direkte behandler opplysninger på vegne av andre er lovpålagt å sørge for at det foreligger en databehandleravtale.

Er jeg innenfor lovverket når jeg har personvernerklæring på hjemmesiden min? 

Personvernerklæring på hjemmesiden er en god start, men er langt fra tilstrekkelig.
Det er også viktig å skille mellom personvern i forbindelse med Cookies og en personvernerklæring for innhenting og oppbevaring av personopplysninger.

Hva er cookies og informasjonskapsler?

Stort sett alle nettpubliseringsverktøy bruker cookies for å registrere innloggingsdetaljer, antall besøk på siden og hvordan man beveger seg på et nettsted. Den som står bak informasjonskapselen, altså den behandlingsansvarlige, kan tilpasse tjenestene sine ut fra informasjonen som lagres. Svært mange bruker også cookies fra Google Analytics, som er et verktøy som gir mer detaljert informasjon om brukermønstre på siden.

Besøkende på nettsiden din skal informeres om det benyttes cookies. Dataen som hentes gjennom cookies er som oftest anonymisert og benyttes kun til å avlese besøk på hjemmesiden. Cookies går under Ekomparagrafen. Les mer om Ekomloven her.

En erklæring som framkommer på hjemmesiden, og som omhandler cookies, er på langt nær tilstrekkelig for å informere klienter som besøker hjemmesiden din.
Du må i tillegg ha en ordinær personvernerklæring som sier konkret om hvilke opplysninger du innhenter for å opprette f.eks et kundeforhold, medlemskap og annet. Også generelle brukervilkår og betingelser må være adskilt fra den ordinære personvernerklæringen.

Hva gjør vi når vi behandler sensitiv informasjon gjennom hjemmesiden vår? 

Du kan gå inn på Datatilsynet sine sider for å lese isolert om det som går på sensitiv informasjon.
Dersom du har en nettside med innlogging (brukernavn og passord) eller benytter betalingsløsning så bør  SSL sertifikater installeres for å bedre sikkerheten.
Altså man krypterer data.

Hva er konsekvensene for ikke å følge lovverket om GDPR? 

GDPR handler først og fremst om trygghet for dine ansatte, kunder og samarbeidspartnere. Deretter er det virksomhetens renommè og tillit som kan svekkes om ikke man har GDPR på stell. Det skal ikke være noen  virksomheter som har “råd” til å unngå å ta GDPR på alvor. Ved brudd på regelverket så er det Datatilsynet som gir virksomheten sanksjoner og bøter på opptil 4% av den totale omsetningen. Ved grove brudd så kan bøtene bli vesentlig større. Det kan også påløpe erstatningsplikt for den som bryter loven og erstatning for “tort og svie”.

Er det mye jobb for virksomheten min å overholde GDPR?

Nei. Har du verktøyene du trenger for å få GDPR arbeidet på plass, så har du allerede kommet langt.
Jobben kan bli vesentlig større om du får tilsyn og sanksjoner for ikke å ha GDPR på stell. Det viktigste er at du etter beste evne forsøker å følge Datatilsynets føringer på hvordan man skal utøve best mulig GDPR – arbeid. Det finnes gode verktøy i markedet, samt god støtte fra advokater, revisjonsselskaper og andre aktører som hjelper deg å få dette på plass. Du kan i tillegg benytte eksternt personvernombud.

Hva kan dere bistå med? 

Vi er kjent med at veldig mange små og mellomstore virksomheter ennå ikke har dette på plass.  Da bryter man altså loven om personvern.
Ved bruk av våre dokumentererklæringerveiledere og internkontroll så er du godt rustet for å ivareta personvernet.
Vi har tilrettelagt tjenesten slik at du på en enkel og forståelig måte håndterer GDPR i henhold til Datatilsynets føringer på hvordan GDPR skal utføres i virksomheten.