skygge

EU's nye personvernforordning trer i kraft 25. mai 2018, noe som vil gi en forenkling for bedrifter ved at det blir ett felles europeisk regelverk å forholde seg til. Det arbeides med en ny norsk lov for å ivareta dette i Norge og etter planen skal denne innføres fra samme tidspunkt. Det nye regelverket vil også stille noen nye krav som bedriftene må gjøre seg kjent med og ivareta, spesielt knyttet til digitale data.

Norge har siden 2015 hatt en relativ streng lov om behandling av personopplysninger gjennom personopplysningsloven, som pålegger bedrifter å ha tilfredsstillende informasjonssikkerhet og internkontroll ved behandling av personopplysninger.

Den nye loven utvider til en viss grad hva som er personopplysninger:

  • Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (vanlig å anse dette som sensitive data).

  • Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag og hva du søker etter på nettet er alt sammen personopplysninger.

  • Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

EU's personvernforordning

 

Hensikten med det nye lovverket er å sikre privatlivets fred og den enkeltes personlige integritet ved å begrense registrering og bruk av personopplysninger til et minimum. Med mindre det er regulert gjennom et rettslig grunnlag er det ikke tillatt å samle eller bruke personopplysninger med mindre man har et frivillig og informert samtykke.

Lovverket gir personer nye rettigheter knyttet til sine personlige data:

  • Rett til å hindre innsamling av data uten samtykke
  • Rett til innsyn i hvilke data som bedrifter har om de
  • Rett til å bli glemt ved at data slettes

Regelverket er på mange måter bygd opp etter samme mønster som internkontrollforskriften, der øverste leder i bedriften er ansvarlig for at regelverket ivaretas og følges opp.

Alle bedrifter vil være pålagt å kartlegge hvilke data de har og hvordan dette lagres og brukes. Kartleggingen må også avklare om behandlingen av data skjer i henhold til regelverket. Bedrifter med sensitive data må i tillegg bl.a. gjennomføre risikoanalyser på lagring, bruk og behandling av disse dataene for å forhindre datainnbrudd eller misbruk.

For små og mellomstore bedrifter er det i første omgang viktig å få på plass følgende:

  1. En oversikt over alle personopplysninger som bedriften håndterer, hvor disse opplysningene kommer fra og hva som er det rettslige grunnlaget for behandlingen
  2. Hvordan en sikrer tillatelse til innsamling og bruk av data og tar vare på disse registreringene
  3. Hvordan en vil håndtere henvendelser om innsyn og sletting av personopplysninger
  4. En personvernpolicy tilgjengelig på egne nettsider
  5. En overordnet risikovurdering for behandling og sikring av personopplysninger
  6. Databehandleravtaler med alle leverandører som lagrer eller bruker personopplysninger for bedriften (databehandlere)

På samme måte som et effektivt internkontrollsystem kan være en konkurransefortrinn for bedrifter, kan også gode rutiner for å ivareta de nye kravene til personvern også bli et konkurransefortrinn.

iSi AS kan bistå bedrifter i prosessen med å ivareta det nye regelverket, både gjennom rådgivning, rutiner og enkle verktøy for kartlegging og registreringer.

iSi AS

Strandgata 6, 6300 Åndalsnes
E-post:post@isi.no
Telefon: +47 411 43 020
Org. nr.: 987356731

Vår personvernerklæring