Oslo, Norway
benedicte.maurstad@hotmail.com

| GDPR | Er din bedrift klar?

| GDPR | Er din bedrift klar?

Innhold:

  • Hva er GDPR?
  • Hva har GDPR å si for din bedrift? 
  • Hvordan skal din bedrift forberede seg til de nye personvernreglene?

Hva er GDPR?

Vi legger fra oss digitale fotspor hvor enn vi er på internett. Nettsidene vi bruker, samtalene vi har, stedene vi besøker, til og med bildene vi tar registreres, måles og legger igjen et digitalt fotspor et fotspor som raskt er en verdsatt ressurs. 

Problemstillingen tilknyttet lagring av data er og har vært at brukere ikke har innsikt i hva dataen blir brukt til. Det vil si at alle personlige opplysninger som legges igjen på nettet som navn, bilde, e-post, bankdetaljer, medisinsk informasjon eller IP-adresse i stor grad er utenfor enkeltpersonens kontroll. Det er dette problemet GDPR skal løse.

Den 25. mai 2018 trer en ny regulering for digitalt personvern kraft; General Data Protection Regulation (GDPR). EU-forordningen vil standardisere alle lovverk knyttet til personvern og sette det sammen til ett rettsverk. GDPR vil ha stor innvirkning på personvernslover og har som mål å beskytte brukere i medlemslandene. 

Hva har GDPR å si for din bedrift? 

Ved innføringen av den nye personvernforordningen må bedrifter i medlemslandene ha innebygd personverninnstillinger i sine digitale produkter og nettsteder. Det kreves også at en blant annet gjennomfører risikovurdering for personvern, styrker forespørsler om tillatelse og dokumentasjon av personopplysninger. SuperOffice CRM lister opp følgende rettigheter enkeltpersoner har under GDPR.

  1. Retten til tilgang.

Enkeltpersoner vil ha rett til be bedrifter om å utlevere det de sitter på av personopplysninger, kostnadsfritt og i elektronisk format, hvis ønskelig. De kan be om bekreftelse fra bedrifter at deres data blir behandlet. Det kan også være om en kopi av alle deres opplysninger som bedriften holder sammen med eventuelle tilleggsinformasjon. 

  1. Retten til å bli glemt

Bedrifter skal slette data om personopplysninger fra tidligere kunder, eller brukere som trekker sitt samtykke fra bedriften til å bruke personopplysningene.

  1. Retten til dataportabilitet

Kunden kan selv overføre data mellom tjenesteleverandører, for gjenbruk til eget formål. Imidlertid gjelder det kun i enkelte tilfeller hvor enkeltpersoner har gitt samtykke til å gi fra seg personopplysninger, og skjer vanligvis under utførelsen av en kontrakt søknad. Og det må skje i et vanlig og maskinlesbart format.

  1. Retten til å bli informert

Bedrifter må tydelig vise til innsamling av data, og kunden skal kunne samtykke til det hvis ønskelig. Dette er detaljert informasjon om hvem som samler og behandler personopplysningene, sammen med hvordan den skal brukes. 

  1. Retten til å få informasjon korrigert

Kunder kan selv be bedrifter om å korrigere utdaterte, ufullstendige eller ukorrekte opplysninger som de har. Bedriften er selv ansvarlig for å overføre de korrigerte opplysningene til tredjeparter som dataene deles med.

  1. Retten til å begrense behandlingen 

Enkeltpersoner kan under visse omstendigheter be om at deres data begrenses og ikke brukes. Forskjellen fra retten til å slettes er at dataen fortsatt lages, bare ikke behandlet yttligere. 

  1. Retten til å protestere

Enkeltpersoner har rett til å stoppe behandling av deres personlige opplysninger for direkte markedsføring. Med mindre bedrifter har overbevisende legitime grunner til å behandle en persons data, beholder de retten til å protestere mot behandlingen. Denne rettigheten må avklares med enkeltpersoner i begynnelsen av enhver kommunikasjon.  

  1. Retten til å bli varslet

Bedrifter har 72 timer på å informere brukere ved tilfelle hvor det har vært innbrudd på deres personopplysninger. 

Hvordan skal din bedrift forberede seg til de nye personvernreglene?

Til tross for at bedrifter har hatt to år på å forberede seg på at de nye personvernreglene skal komme, viser det seg i en stor undersøkelse blant 800 ledere utført av BDO at hele 4 av 10 bedrifter ikke er klare for GDPR. Mange bedrifter har ikke oversikt over personopplysningene de behandler og har heller ikke foretatt nødvendig risikovurdering for behandlingen av data. Ikke bare vil GDPR ha mye å si for bedrifters omdømme de kommende månedene, men bedrifter risikerer samtidig å få store bøter.

GDPR-forordningens formål er i hovedsak å sørge for at bedrifter har innebygd personvern hvor bedriftene får oversikt over de personopplysninger de har og måten de behandler dem på. For å komme i gang med arbeidet å oppfylle kravene for GDPR, har jeg laget noen punkt:

  1. Få oversikt over bedriftens personopplysninger

Skaff en oversikt i hvilke personopplysninger bedriften besitter og hvordan de behandles. Identifiser hvor dataen lagres, hvor den kommer fra, og hvem den deles med. Gjør en grundig gjennomgang av dataen, ikke behold mer informasjon enn du trenger og fjern alle opplysninger som ikke brukes.  

  1. Foreta en risikovurdering

Sørg for at det iverksettes tiltak for å forhindre datainnbrudd. For å gjøre det må de nødvendige prosedyrene for å oppdage, rapportere og undersøke bruke på personopplysninger ligge til grunn. Rutiner som å varsle enkeltpersoner og myndigheter må være på plass. Bli kjent med ICOs anbefalingskodeks for risikovurdering for personvern. 

  1. Foreta vurdering av dagens prosedyrer

Etabler gode prosedyrer for hvordan personopplysningene skal behandles. Gjør en vurdering av dagens personvernerklæringer, og lag en plan for å implementere GDPR. Sett deg inn i rettighetene enkeltpersoner har under GDPR og sikre at dine prosedyrer dekker alle, inkludert hvordan personlig data overføres eller slettes

Fortsatt usikker på hva GDPR er, eller ønsker å lære mer, SuperOffice CRM har laget en video, se den her:  https://www.youtube.com/watch?v=S0aTpvBmVnY&

 

 

Kilder:

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *