Vi har laget en enkel veileder du kan bruke for å vurdere hva du trenger å gjøre med GDPR.

Personopplysninger er alle data som, direkte eller indirekte, kan knyttes til et individ. Det kan dreie seg om kundedatabaser, informasjon om ansatte, kontaktpersoner hos leverandører eller kunder, bestillingsskjema fra kundene dine, kjøpsmønster, betalingsinformasjon, epost, bilder, video fra overvåkingskameraer og andre opplysninger som kan knyttes til et individ gjennom f.eks navn, adresse, epost, ansattnummer og bilskilt. Hvis virksomheten din sitter på slik data eller har et ønske om å innhente slik data, så må du følge kravene til GDPR.

GDPR inneholder krav fra myndighetene om innhenting, lagring og bruk av slike personopplysninger. Innsamling og lagring av data skal være for spesifikke formål og på lovlig grunnlag. Det skal være tydelig informasjon om hva dataen skal brukes til og hvem det deles med.

Behandling av personlige data handler om tillit og at man tar individene på alvor. Feil behandling av personopplysninger kan føre til avisforsider, tap av omdømme og store verdier for virksomhet og aksjonærer.

ICONFIRM gjør det enkelt å få kontroll på data allerede ved registrering.

 

Steg 1 – Forankring

Etterlevelse av GDPR påvirker store deler av en virksomhet, og kan føles overveldende når man setter seg inn i det. Arbeidet med GDPR kan derfor ikke være administrativt venstrehåndsarbeid, men krever bevisst involvering av ledelse og ansatte. Det er heller ikke et stykke arbeid som skal ansees som et prosjekt, men må inkluderes som en del av løpende aktiviteter. Det er en kontinuerlig prosess.

Ansvar er tydelig plassert i GDPR. Derfor må personvern og GDPR på agendaen til styret og ledelsen så raskt som mulig for å sikre nødvendige ressurser.

Datatilsynet har en rekke veiledere som gir gode råd. Noen av dem finner du her. Bruk litt tid på å lese og reflektere over hva dette betyr for dere.

 

Steg 2 – Kartlegging

Begynn med å gå gjennom praksisen din i dag. For å gjøre kartlegging anbefales følgende enkle øvelse:

  1. Når dere registrerer opplysninger om en ny person første gang; hva registrerer dere og hvorfor gjør dere det?
  2. For hvilken type kategori av individer (kunder, ansatte, kundekontakter, leverandører, samarbeidspartnere, medlemmer) samler dere data?

Dette gir informasjon om hvilke behandlingsaktiviteter som gjøres og som det må dokumenteres protokoller for. For hvert behandlingsgrunnlag skal det dokumenteres:

  1. Hvilke data eller kategorier av data man samler
  2. Hvor opplysningene kommer fra
  3. Juridisk grunnlag
  4. Formål
  5. Sletterutiner (vurdering av hvor lenge data må lagres og hvorfor)
  6. Hvor data behandles (system og geografi)
  7. Hvordan data er sikret (tilgangskontroll, kryptering etc)
  8. Hvem man deler data med (databehandlere, tredjeparter)
  9. Om behandlingen innebærer høy personvernrisiko.

Med få unntak skal alle bedrifter lage protokoller over behandlingsaktiviteter som beskriver informasjonen over.

ICONFIRM gjør det meget enkelt for bedriftene å dokumentere og samle all relevant informasjon ett sted!

 

Steg 3 – Informasjonstekster

Formuler spesifikke personvernerklæringer for behandlingsaktivitetene. Disse bør kvalitetssikres av kvalifisert jurist, og også ha fokus på klarspråk. Formuler tekster som beskriver formål for samtykker.

En god personvernerklæring skal inneholde informasjon om hvem som er behandlingsansvarlig, kontaktdetaljer, kontaktinformasjon til personvernombud, formål or behandling, juridisk grunnlag, sletterutiner, den registrertes rettigheter, i hvilken grad data deles med tredjeparter, og om data sendes utenfor EU/EØS.

ICONFIRM har samarbeidsavtaler med en rekke ledende advokatfirmaer som kan bidra i kvalitetssikringen.

ICONFIRM gir virksomheten mulighet til å formidle personvernerklæringer tilpasset hvert enkelt behandlingsgrunnlag.

 

Steg 4 – Iverksett og fortsett utviklingen

På grunnlag av informasjonen over kan du nå vurdere om det er nødvendig å informere dine eksisterende kunder/brukere på nytt og innhente nye samtykker? Registrer nye individer på basis av gjeldende behandlingsgrunnlag.

Bygg rutiner for løpende håndtering av de registrertes rettigheter inkludert håndtering av mottakere.

Forbered rutiner for rapportering av eventuelle databrudd til myndigheter og de registrerte.

Etter hvert som du bygger erfaring gjør du relevante justeringer i tekster og innhold. Gjenta risikovurderinger og kartleggingsrutiner, og identifiser gap og tiltak.

ICONFIRM gjør bedre personvern enkelt ved å holde behandlingsgrunnlaget oppdatert, og lar deg effektivt administrere og loggføre løpende håndtering av registrertes rettigheter. Ved databrudd kan ICONFIRM benyttes til effektiv og detaljert rapportering til myndigheter og de registrerte.

ICONFIRM gjør det enkelt og oversiktlig å demonstrere etterlevelse av regelverket.