Er din virksomhet klar for GDPR?
Skrevet av: Freddy Kristensen, Chief Information Security Officer i 24SevenOffice -
Lesetid: 2minutter
I 2016 vedtok EU en ny personvernforordning som heter «General Data Protection Regulation» eller forkortet til GDPR. Er din bedrift klar for GDPR?
I 2016 vedtok EU en ny personvernforordning som heter «General Data Protection Regulation» eller forkortet til GDPR. Den nye forordningen trer i kraft i hele EU-området fra 25. mai 2018 og vil også gjennomføres i norsk rett.
Dette vil påvirke alle norske virksomheter på en eller annen måte. Norge har allerede en av verdens strengeste personvernregler, så i utgangspunktet skal ikke regelendringen føre til alt for store endringer. Men på en annen side er det mange virksomheter som må ta en runde med seg selv, for å se om de har «orden i sysakene» fra før. De som ikke har det, har en større jobb foran seg. En av forskjellene fra tidligere lovgivning er at en nå kan bli erstatningspliktig ved brudd på loven. Du kan bli erstatningspliktig på inntil 4% av den globale omsetningen eller 20 millioner euro.
Hva er så formålet og hvilke rettigheter har den enkelte person i forhold til det nye lovverket?
Hovedformålet er å beskytte det enkelte individet i en hverdag hvor den økte digitaliseringen stadig finner nye veier til å skaffe seg en nærmest komplett kartlegging av deg som person. Hvem gjør dette? Hvilket formål har de? Hva brukes informasjonen til? Har jeg som enkeltindivid mulighet til å gi og trekke tilbake tillatelser til bruk av mine persondata? Mens det tidligere var mest fokus på sensitive personopplysninger (som for eksempel hva du stemmer på, seksuell legning etc.) gjelder nå det nye regelverket også all type opplysninger som kan kobles mot en person.
Det er vanskelig for et enkelt individ å stå opp mot store internasjonale aktører uten å ha et lovverk å støtte seg til. Den nye lovgivningen regulerer dette ved å gi oss som enkeltindivider flere rettigheter i forhold til kontroll over hvilke opplysninger som er registret om en selv.
De viktigste punktene med den nye forordningen slik vi kjenner den i dag er:
- Personopplysninger skal kun samles inn og behandles iht. det formål som enkeltpersonen har gitt samtykke til. Det vil si at enkeltpersonen skal informeres om hva opplysningene skal benyttes til.
- Enkeltpersoner skal kunne gi og trekke tilbake samtykke til behandling av personopplysninger. Dvs. at enkeltpersoner også skal kunne stoppe videre behandling av personopplysninger og kreve at disse slettes.
- Enkeltpersoner skal kunne be om tilgang til å lese hva et selskap har registrert om dem og samtidig ha en rett til å be om at ufullstendig eller ukorrekt informasjon rettes opp.
- Enkeltpersoner skal kunne be om at personopplysninger eksporteres i et maskinlesbart format.
- Enkeltpersoner skal bli varslet dersom det oppstår datainnbrudd.
Hva så med virksomhetene?
Dette handler mye om lagring og prosessering av dataregistre. Sett fra en virksomhet sitt synspunkt er det derfor lett å kategorisere dette som en IT-oppgave og at ansvaret ligger hos de ulike IT-leverandørene. Men slik er det ikke. GDPR handler om din virksomhet og hvilke rutiner dere har i forhold til lagring av persondata.
Så for å gjenta noen av punktene over. Hvorfor lagrer vi denne informasjonen om en person? Hvilket formål har det? Bruker vi informasjonen kun til dette formålet? Når er det ikke lenger formålstjenlig å lagre denne informasjonen? Dette er spørsmål som handler mer om rutiner enn om funksjonalitet i et IT-system. Kort fortalt: Det er din virksomhet som er ansvarlig for dette – og som vil motta henvendelsen når det kommer til forespørsler rundt punkt 1-5 ovenfor.
Som en skybasert leverandør av forretningssystemer, er 24SevenOffice et naturlig sted å lagre informasjon om andre virksomheter og personer. 24SevenOffice har ikke lagt opp til å lagre sensitive personopplysninger, men det er mange andre opplysninger som kan omtales som persondata som lagres her. 24SevenOffice leverer blant annet til regnskapsbransjen, som er en regulert bransje og allerede har strenge krav på seg til å følge norske lover og regler.
For å oppsummere så er det altså ikke 24SevenOffice sin oppgave å utlevere opplysninger om en person som er registrert i vår kundes registre, det er det kunden selv som må gjøre. 24SevenOffice vil derimot tilrettelegge for at oppgaver forbundet med det nye regelverket skal kunne gjøres og løses på en så enkel måte som mulig – og innenfor de lover og regler som gjelder.
Les mer om hvordan din virksomhet skal forberede seg til GDPR på Datatilsynet sine nettsider.