Er du klar for nye personvernregler?

Er du klar for nye personvernregler?
På kompetansedagen til ØkonomiBistand holdt Ove Skåra fra Datatilsynet et foredrag om innføringen av de nye personvernreglene, GDPR, som blir gjeldende fra mai neste år. Hovedtemaet var hvordan disse endringene vil påvirke norske virksomheter og hvordan de bør forberede seg.

Ove poengterte at mange av de nye reglene som innføres egentlig har eksistert hele tiden – bare i en annen drakt. Dette gjelder både rutiner for lagring og sletting av data, sikring av data mot uautorisert eller ulovlig tilgang og at opplysningene skal brukes til legitime formål.


Hva blir så nytt med innføringen av GDPR?

Med GDPR blir regelverket vesentlig innstrammet med blant annet en rekke nye krav til dokumentasjon av prosessene. Det blir også flere sanksjonsmuligheter dersom reglene ikke følges. Dette medfører at en virksomhet kan ilegges en foretaksbot inntil 2 % av konsernomsetning. Et annet kraftig virkemiddel er at det nå vil gis mulighet for gruppesøksmål.

Andre viktige endringer

  • Innebygd personvern
    IT-løsninger må være bygd for å tilfredsstille kravene i GDPR. Å ta hensyn til dette ved utvikling av en løsning, vil være både kostnadsbesparende og mer effektivt enn å endre et ferdig system.

  • Utrede personkonsekvenser
    Risikovurderinger er en nødvendighet som en del av internkontroll. Det innebærer blant annet å identifisere behandlinger som kan medføre høy risiko for personvernet, og videre identifisere risikoreduserende tiltak.

  • Rapportere sikkerhetsbrudd
    Alle plikter å rapportere avvik til både Datatilsynet og til de registrerte. Det skal være skriftlige rutiner for håndtering av dette.

  • Personvernombud
    For virksomheter som behandler spesielt sensitive personopplysninger, er det krav om opprettelse av et eget personvernombud.

De viktigste forberedelsene

For å være best mulig forberedt til disse endringene, er det vesentlig at man begynner allerede nå. Alle rutiner og krav må være på plass innen GDPR trer i kraft den 25.05.2018. Blant de forberedelsene man bør gjøre, er å se på den registrertes rett til innsyn, retting, sletting og sperring. Dette er et område mange ikke har klart definerte rutiner for i dag. 

  • Gjør deg selv, øvrig ledelse og medarbeidere kjent med ny personvernlovgivning.
  • Få oversikt over hvilke personopplysninger dere behandler, med hvilket formål, rettslig grunnlag og med hvem dere deler disse videre med.
  • Opprett personvernombud hvis nødvendig.
  • Få rutiner på plass for å oppdage, rapportere og rette avvik.
  • Bygg personvern inn i løsningene som utvikles.
  • Tilrettelegg for de registrertes rettigheter.

Oppsummert vil dette si at man bør allerede nå begynne med prosessen for å kunne tilfredsstille de kravene som innføres i mai. Visma og ØkonomiBistand vil bidra til at systemene er best mulig tilrettelagt og tilpasset for våre kunder. Den største jobben for de fleste vil likevel være å få på plass interne rutiner og retningslinjer.