Norges rimeligste tilbyder!
.no domene = kr. 99/år
Webhotell/e-post = kr. 99/år

    Denne artikkelen er del 14 av 14 artikler om Informasjon

    Denne artikkelen er del 2 av 16 artikler om Personvern

Hva er GDPR?

GDPR er en forkortelse for «General Data Protection Regulation». GDPR er EU`s nye personvernlov og gjelder også for Norge som EØS-land fra og med 1 juli 2018. På norsk kalles denne loven for Personvernforordningen.

Lovens formål er å gjøre det enklere for den enkelte å finne ut hva som lagres om dem og hva denne informasjonen brukes til. Loven gjelder ikke for behandling av personopplysninger av hensyn til nasjonal sikkerhet eller kriminalitetsbekjempelse.

Innføringen av GDPR reglene var en kraftig skjerping av personvernreglene. Myndighetene har nå anledning å gi bøter som starter på 20 millioner Euro eller opp til 4% av omsetningen til selskapet hvis GDPR reglene ikke følges. Av den grunn er det viktig at alle lærer seg disse reglene slik at man kan sørge for at man selv ikke bryter dem, da konsekvensene kan bli store.

Selv om regelverket ble presset frem i Europa for å gi myndighetene en lov som regulerte hvilke personopplysninger de store sosiale mediene og nettbutikkene som Facebook, YouTube, Instagram, Linkedin og Amazon har lov til å samle inn og bruke om den enkelte borger, gjelder GDPR reglene ikke bare for personopplysninger på Internett. De gjelder personopplysninger generelt, uavhengig av hvordan de er samlet inn og bearbeidet.

GDPR reglene gjelder kun behandlingansvarlig

Når det gjelder hvem som er pliktig til å følge GDPR reglene så sier loven at det kun er “behandlingsansvarlig” som er ansvarlig å følge reglene. Vi må dermed ha det klart hva en behandling er og hvem som er behandlingansvarlig.

Med “behandling” menes enhver befatning, f.eks. innhenting, analyse, lagring og bruk. Å sende en epost er en behandling. Det samme gjelder å lagre telefonnumre og kontaktinformasjon på mobilen.

En bedrift regnes som behandlingsansvarlig hvis de bestemmer formålet med behandlingen av personopplysninger og hvordan de skal brukes. Dette ansvaret kan ikke settes bort til en tredjepart. Noe som betyr at bedriften beholder ansvaret selv de bruker f.eks en systemleverandør eller regnskapsfører til det praktiske (de regnes som “databehandlere”), sier NHO.

Konsesjonsplikten forsvant 1 juli 2018

Før GDPR loven til EU kom var det et krav at man måtte søkte Datatilsynet om konsesjon før et personregisteret ble opprettet, med noen unntak. Dette kravet forsvant 1 juli 2018 når GDPR loven i EU trådde i kraft. Ingen trenger dermed konsesjon fra Datatilsynet for å kunne opprette et digitalt personregistrer. 

Behandlingsgrunnlag

Alle kan nå opprette et personregistrer hvis de har et behandlingsgrunnlag. Har man ikke et behandlingsgrunnlag kan man heller ikke opprette personregisteret eller behandle personopplysningene i følge GPDR reglene.

I følge NHO finnes det fire typer behandlingsgrunnlag som er legitime grunner for å registrere personopplysningene i et personregister:

  1. den registrerte personen har gitt bedriften samtykke til behandlingen (det er egne krav til hvordan man innhenter samtykke)
  2. det er nødvendig for bedriften for å oppfylle en avtale med den registrerte personen
  3. det er nødvendig for å overholde lover og regler (for eksempel innrapportering av ansatte til skatteetaten og NAV)
  4. bedriften har en berettiget interesse i behandlingen, som er nødvendig og som er viktigere enn å beskytte personopplysningene for den registrerte (dette forutsetter en konkret avveining av disse interessene)

Selv om bedriften har et behandlingsgrunnlag, kan det være andre regler som begrenser hvordan man kan bruke dem. Markedsføringsloven har for eksempel egne regler om markedsføring og om hvordan bedrifter kan kommunisere med kundene, påpeker NHO.

Brukeren bestemmer hva som kan lagres

GDPR krever at brukeren skal vite hva som blir lagret om dem, og de må samtykke til at disse opplysningene lagres, med noen få unntak. Brukerne skal også vite hva informasjonen skal brukes til.

Dette innebærer at brukerne skal kunne se den profilen som lages av dem når de f.eks. liker eller kommenterer noe på Facebook eller andre steder. Det de ikke har krav på å se er, i følge Datatilsynet, hvordan profilen lages, dvs. algoritmen til leverandøren. Dette er å betrakte som en bedriftshemmelighet og er noe bedriften har rett å beskytte mot innsyn fra andre. Her kommer man imidlertid lett inn et gråsone land som ennå ikke er regulert.

Brukeren må aktivt samtykke til bruke

Loven krever at brukeren aktivt skal bekrefte at de gir leverandøren tillatelse til å behandle sine personopplysninger. Brukeren skal også kunne nekte leverandøren å bruke deres personopplysninger og de skal kunne trekke tilbake et samtykke de tidligere har gitt. Regelverket krever at det skal være like enkelt å si nei til at det lagres informasjon om noen som det er å si ja til at dette lagres. Normalt gis samtykke ved å klikke på en stor synlig knapp e.l.

Det skal tydelig fremgå hva brukeren sier ja til

Idag har de fleste nettsteder en side med “Terms of use” som brukerne må akseptere for å få tilgang til tjenesten. Problemet har bare vært at denne siden er så lang for å dekke alle eventualiteter at de fleste hopper over alt som står på denne siden. Dette er ikke lenger tillatt i GDPR reglene.

For å unngå at essensielle informasjonen gjemmes bort i en kjempelang tekst  krever GDPR regelverkt at teksten om det som lagres og hva dataene brukes til presenteres på en kort og lettforståelig måte.

I praksis betyr dette at denne Personvernerklæring skal angi hvordan personopplysningene samles inn og brukes må sammenfattes til en side på under 1000 ord som kun inneholder essensen av brukernes rettigheter. Trenger du mer plass må du samle denne informasjonen i underliggende sider og bokser som det linkes til fra Personvernerklæringen.

Personopplysningene må behandles på en lovlig, rettferdig og gjennomsiktig måte

Loven krever også at bedriften må være sikker på at de har rett til å behandle personopplysningene, og de må opptre ordentlig og ryddig overfor den registrerte. Det er også et krav at de registrerte må få skikkelig informasjon om hvilke personopplysninger bedriften har og hva bedriften vil bruke dem til.

Behandlingen av personopplysningene må ha et formål

Det er ulovlig å samle inn personopplysninger uten at man på forhånd har et definert formål med datainnhentingen og dataanalysen. I praksis betyr dette at man må på forhånd ha bestemt seg for hva opplysningene skal brukes til og hvordan de vil bli behandlet. Det er i utgangspunktet ikke mulig å bruke dem til andre formål i ettertid. Hvis en person gir bedriften sitt mobilnummer for å delta i en konkurranse, kan bedriften ikke uten videre bruke nummeret til å sende SMS-er med gode tilbud om varer og tjenester, da dette er et annet formål.

Bruken av opplysningene må være tilpasset formålet

Det må også være en klar sammenheng mellom hva slags personopplysninger som samles inn og formålet med datainnsamlingen. Hvis formålet er å sende e-post til en privatkunde, trenger bedriften ikke hjemmeadresse eller telefonnummeret til personen. Det er urelevant i forhold til formålet.

Personopplysningene må være korrekte

Det er også et GDPR krav at personopplysningene som lagres er korrekte. Noe som betyr at vi samtidig må opprette gode rutiner for hvordan opplysningene skal holdes oppdatert når vi bestemmer oss for å opprette et personregistrer. Her gjelder regelen:

Jo flere personopplysninger vi lagrer, jo mer ressurser må vi også bruke på å holde dem oppdatert

Ut i fra dette kan vi trykt trekke den konklusjonen at hvilke opplysninger vi skal inkludere i personregisteret må vurderes ut fra en kost/nytte betraktning, foruten at vi må forsikre oss om at opplysningen er nødvendig m.h.t. formålet.

Kravet om at alle personopplysningen må være korrekte er ikke absolutt. Loven sier at bedriften må vurdere hvor viktig det er for den registrerte at opplysningene er korrekte: Jo viktigere det er for den registrerte at opplysningene er korrekte, jo mer må bedriften anstrenge seg for å ha korrekte og oppdaterte opplysninger.

Brukeren kan kreve at lagret informasjon fjernes

Det skal også bli enklere å få fjernet informasjonen som er lagret om deg (“retten til å bli glemt”). Lagrer en bedrift informasjon om deg uten at du har sagt ja til det, kan du kreve at det slettes. På samme måte kan du kreve at opplysningene ikke brukes til markedsføring og annonser. Du kan også kreve at all registrert informasjon om deg som ikke er nødvendig for leverandøren kan oppfylle sine forpliktelser ovenfor deg slettes.

Personopplysningene må slettes når de ikke lenger er nødvendig

Har en kontaktperson hos en bedriftskunde sluttet i jobben, trenger du ikke lengre kontaktdetaljene til denne personen. GDPR reglene kreves at personopplysningene slettes så snart de ikke lenger er nødvendige. Noen personopplysninger, f.eks. datalogger, er man pålagt å beholde en viss tid før de slettes.

Et alternativ til å slette personopplysningene er å anonymisere dem slik at det ikke er mulig å spore dem tilbake til et identifiserbart individ.

Personopplysningene må lagres og brukes slik at de ikke blir misbrukt

Uvedkommende skal ikke få eller ha tilgang til personopplysningene. Jo mer følsomme personopplysninger det er snakk om, jo sterkere tiltak er nødvendig for å sikre dem.

Personvernerklæringen

Et av grunnprinsippene for behandling av personopplysninger er at behandlingen skal være rettferdig og åpent. Dette betyr blant annet at bedriften skal informere de registrerte om behandlingen av personopplysninger og om de rettighetene de registrerte har. Hvordan denne informasjonen skal gis finnes det spesielle regler for i GDPR.

Krav til dokumentasjon

For å unngå at loven brytes må bedriften vurdere risikoen for at loven kan bli brutt. Her må bedriften vurdere hvilke tiltak som er nødvendig for å etterleve GDPR regelverket. Dette vurderingen må gjøres på FØR behandlingen av personopplysningene starter.

Denne vurderingen og tiltakene som iverksettes må dokumenteres for å kunne bevise at bedriften har gjort en tilfredstillende vurdering før behandlingen av personopplysningene startet. Dokumentasjonen trenger ikke å være omfattende, men må kunne foreligges. 

Dokumentasjonen må beskriver blant annet:

  • hvilke typer av registrerte personer det er snakk om (for eksempel ansatte, kontaktpersoner hos kunder eller privatkunder)
  • hvilke(t) formål bedriften har med behandlingen (for eksempel administrasjon av ansatte eller å informere kunder om nye produkter)
  • hvilke typer opplysninger man bruker (for eksempel navn, bankkontonummer, inntekt eller epostadresse)
  • hvordan bedriften bruker opplysningene (for eksempel innsending av opplysninger om ansattes inntekt til skattemyndighetene eller lagring av epostadresser)
  • hvilke grunnlag man har for å behandle opplysningene (for eksempel bedriftens egen interesse, samtykke, lovforpliktelse eller avtale)
  • at bedriften skal ha en personvernerklæring e.l.

GDPR reglene gjelder også for bedrifter utenfor Europa

Virksomheter som er etablert utenfor EU- eller EØS-området må følge forordningens regler dersom de:

  1. tilbyr varer og tjenester til EU- eller EØS-borgere
  2. kartlegger EU- eller EØS-borgeres adferd innen EU- eller EØS-området

Sikkerhetsbrudd

Etter GDPR lovgivningen er behandlingsansvarlige rettslig forpliktet til å varsle tilsynsmyndighetene uten ugrunnet opphold ved sikkerhetsbrudd, med mindre det er usannsynlig at bruddet medfører risiko for personers frihet og rettigheter. Som sikkerhetsbrudd regnes alle hendelser som har medført ulovlig behandling av personopplysninger. Enkeltpersoner har rett til å bli varslet, hvis sikkerhetsbruddet sannsynligvis medfører høy risiko for personen, skriver Wikipedia.

Hvordan innføre GDPR i virksomheten?

Under finner du en anbefalt arbeidsprosess for hvordan du bør gå frem for å gjøre din virksomhet i tråd med GDPR regelverket.

1. Kommuniser nødvendigheten av å oppfylle GDPR kravene

Å endre dagens måte å behandle folk personopplysninger på er en organisasjonsendring, og med enhver endring kommer det massiv endringsmotstand. Spesielt hvis de ikke forstår hvorfor endringen er nødvendig, hva endringen innebærer eller ikke er enig i endringen.

Siden GDPR er lovpålagt er dette ikke et spørsmål om å være enig i endringen eller ikke. Gjennomføres dem ikke er bøtene inntil 4% av årsomsetningen eller inntil 20 million euro, avhengig av hva som er størst. Dette er derfor noe enhver virksomhet må gjennomføre. Oppmerksomheten må derfor rettes mot hva dette innebærer for virksomheten og måten en enkelte utfører arbeidet sitt på og hvilke endringer som er nødvendig å gjennomføre for å tilfredsstille GDPR regelverkets krav.

Endringen må starte på toppen. Forstår toppledelsen ikke nødvendigheten av å oppfylle GDPR kravene er det heller ikke mulig å gjennomføre endringen i praksis, da tildelingen av ressursene (tid, penger og kompetanse) kommer fra toppledelsen. Deretter gjelder det å få med seg resten av organisasjonen, fra nest-kommanderende til ektrahjelpene, til å forstå nødvendigheten av endringen. Fremgangsmåten vi her må følge for å gjennomføre endringen er akkurat den samme som gjelder for alle andre organisasjonsendringer. Det vil si gjennom endringsledelse.

2. Få oversikt over dagens behandling av personopplysninger

Når alle forstår og er enig i nødvendigheten av endringene er neste steg å skaffe seg en oversikt over hvordan virksomheten idag innhenter, analyserer, bruker, lagrer og sletter personopplysninger.

Dette krever en systematisk kartlegging og gjennomgang av alle eksisterende systemer og løsninger som behandler personopplysninger. Her gjelder det å kartlegge:

  • Hvilke personopplysninger innhenter de?
  • Hvorfor hentes personopplysningene inn?
  • Hvordan hentes personopplysningene inn?
  • Hvordan brukes disse personopplysningene?
  • Hvordan lagres og sikres personopplysningene?
  • Hvem har tilgang til personopplysningene? Deles de med noen?
  • Hvor lenge lagres personopplysningene?
  • Hvordan kan personopplysningene slettes?

Gjennomfør her en GAP-analyse, hvor målet er å få en oversikt over “gapet” mellom:

  • Hvor står vi?
  • Hvor skal vi?

Husk at registrerte personer skal ha rett til å:

  • be om å få se alle personopplysninger virksomheten har om dem
  • nekte profilering og automatiserte avgjørelser
  • motsette seg en behandling
  • begrense en behandling
  • be virksomheten slette alle personopplysninger om dem

3. Lag en handlingsplan

Når gapet (aviket) mellom dagens situasjon og ønsket situasjon m.h.t. GDPR regelverket er neste steg å lage en konkret handlingsplan som tar sikte på å eliminere gapet. En plan som angir hvilke tiltak som skal gjennomføres, når, hvordan, med hvilken effekt, av hvem og til hvilken kostnad.

4. Gå igjennom dagens databehandler avtaler

Gå samtidig igjennom avtalene du har med alle tredjepart leverandører som samler inn, behandler og/eller lagrer personopplysninger fra din virksomhet. Vi snakker her om alt fra tredjeparts informasjonskapsler du har på nettsidene dine for å måle trafikken til sidene, webhotellavtalen eller nettskyavtalen du har for innsamling, behandling og lagring av virksomhetens personopplysninger. Alle disse tredjepart leverandørene må også også oppfylle GDPR kraven og virksomhetens brukere må gjøres oppmerksom på dette.

Sørg derfor at virksomheten har gode databehandler avtaler på plass med leverandørene av disse systemene. For skybaserte tjenester er det spesielt viktig å spørre leverandøren hvor og hvordan dataene lagres og hvem som har tilgang til dem.

5. Legg opp til samarbeid på tvers av organisasjonen

Veien mot GDPR-compliance er ikke bare et prosjekt som IT-avdelingen skal involveres i. Prosessen må involvere hele organisasjonen og det bør hentes inn fagpersoner med forskjellig kompetanse for å få til en best mulig vurdering av risikoen og eventuelle konsekvenser, og finne de gode løsningene på problemene, utfordringene og mulighetene de ser.

Har organisasjonen ikke den nødvendige juridiske kompetansen internt, bør den hentes inn fra en ekstern leverandør (rådgiver).

6. Implementer endringer

Når ovenstående punkter er på plass er neste skritt å implementere endringene som er nødvendig for å oppfylle GDPR regelverket.

Prosedyrer, tiltak og trening i forbindelse med GDPR må dokumenteres, slik at behandlingsansvarlig står godt rustet ved en eventuell inspeksjon. 

7. Kontroller og evaluer tiltakene

Når tiltakene i handlingsplanen er gjennomført må du kontrollere om målene med å oppfylle alle GDPR kravene ble nådd. Ble de ikke det må det kartlegges hvorfor målene ikke ble nådd og hvordan tiltakene må endres for å nå det endelige målet. Før disse endringen på nytt settes ut i livet, før vi så kontrollerer og evaluerer om GDPR kravene ble nådd eller ikke.

Fant du ikke svaret? Spør redaksjonen!

Fant du ikke svaret?

Fyll ut skjemaet under hvis du har et spørsmål knyttet til denne artikkelen.

Ditt spørsmål:

Ditt navn:

E-post:

Rapporter en feil, mangel eller savn

Rapporter en feil, mangel eller et savn

Benytt skjemaet under hvis du finner en feil eller mangel i en av våre artikler. Uten tilbakemeldinger fra våre lesere er det umulig for oss å forbedre våre artikler.

Jeg ønsker å rapportere inn en:

En feilEn mangelEt savn

Angi en feil, mangel eller savn:

Ditt navn:

E-post:

Du kan også laste ned denne artikkelen og resten av artikkelserien som en e-bok Artikkelserien fortsetter under.

Topp20 artikler
Siste 20 artikler
Nye artikkelserier
Du leser nå artikkelserien: Informasjon

  Gå til neste / forrige artikkel i artikkelserien: << Informasjonsanalyse
    Andre artikler i serien er: 
  • Informasjon
  • Fra preindustrielt- til postindustrielt samfunn
  • Hvor mye informasjon trenger vi ?
  • Innbokskontroll
  • Informasjonstyper (datatyper)
  • Informasjonsbruk
  • Informasjonsøkonomi
  • Informasjonen skal bygge bro mellom kjerneprosessene
  • Informasjonsstruktur
  • Visualiser din nye informasjonsstruktur
  • Informasjonsdeling
  • Internkommunikasjon
  • Informasjonsanalyse
  • GDPR («General Data Protection Regulation»)
  • Du leser nå artikkelserien: Personvern

      Gå til neste / forrige artikkel i artikkelserien: << PersonvernInformasjonskapsel >>
        Andre artikler i serien er: 
  • Personvern
  • GDPR («General Data Protection Regulation»)
  • Informasjonskapsel
  • Innebygd personvern
  • Personvernerklæring
  • Personvernerklæring mal
  • Personvern på arbeidsplassen og i jobbintervju
  • Internett overvåking
  • E-postovervåking og innsyn i e-post
  • Kameraovervåking på arbeidsplassen
  • Mobil overvåkning av ansatte, utstyr og varer
  • Elektroniske kjørebok
  • Flåtestyring
  • Big Data – personvernprinsipper under press
  • Hvem står juridisk ansvarlig for sikringen og innholdet i nettskyen?
  • Personvernombud