Hva er GDPR?

The General Data Protection Regulation er forkortet til GDPR, og er en forordning fra EU. Den blir til norsk lov i 2018, og omfatter behandling av personopplysninger. Forordningen trer i kraft 25. mai i 2018. GDPR styrker på mange måter personvernet i Norge.

Hva må jeg ha klart 25. mai?

For det første, sett deg inn i reglene som gjelder allerede. Mange av dem videreføres, men enkelte nye regler kommer. Kartlegg virksomhetens bruk av personopplysninger. En risikovurdering og -analyse av hvilke trusler som finnes mot informasjonssikkerheten er neste steg. Gå gjennom rutinene som virksomheten allerede har, og se i hvilken grad de samsvarer med de nye kravene. Deretter bør en analyse og en plan om hvordan kravene skal oppfylles lages.

Hva betyr GDPR for meg?

Dagens lovgivning om personopplysninger erstattes av GDPR. Konkret vil det si at virksomheter som håndterer persondata får nye plikter og at personer hvis data håndteres får nye rettigheter.

Du må sette deg inn i hvilke nye regler som gjelder. Deretter se på dagens rutiner, og om disse holder mål opp mot de nye reglene. Alle virksomheter må ha en personvernerklæring. En person kan nå kreve å bli slettet, alle kan kreve dataportabilitet, og ikke minst kan alle kreve å vite hva som er lagret om den. Nye løsninger skal ta hensyn til personvernet når de utvikles.

Hva regnes som «behandling av personopplysninger»?

All bruk av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter (Datatilsynet)

Hva er «dataportabilitet»?

Dataportabilitet er retten til å ta med seg sine personopplysninger fra en virksomhet til en annen. Det kan skje på to måter: Den registrerte kan få utlevert opplysningene slik at de kan overføres til en annen behandlingsansvarlig, eller kreve at personopplysningene overføres direkte til en ny behandlingsansvarlig. Dette kan omfatte ulike former for kundedata, og er verdt å ha i mente når systemer settes opp og utvikles.

Hva er en «behandlingsansvarlig»?

Kort sagt, den som behandler personvernopplysninger, altså din virksomhet.

Trenger vi et personvernombud?

Ikke alle virksomheter må ha det, men enkelte er pålagt. Det gjelder:

• Offentlige virksomheter
• Virksomheter som behandler sensitive personopplysninger i stor skala
• Virksomheter som systematisk overvåker europeiske borgere i stor skala

Norge kan ved lov pålegge flere typer virksomheter å ha personvernombud.

Kilde: Datatilsynet

Hva er «databehandlere»?

Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten, som for eksempel virksomhetens leverandør av IT-tjenester.

Hva er «profilering»?

Datatilsynet definerer det som analysering av personopplysninger for å avdekke adferd, preferanser, evner eller behov. Kortform av personprofilering.

Jeg har hørt noen nevne en «bransjenorm», hva er det?

Bransjenormen er, slik Datatilsynet definerer det, en samling av retningslinjer som virksomheter innenfor en bransje er enige om å følge. Normen vil nødvendigvis måtte ha hensyn til hvilke typer virksomheter og deres størrelse som er i bransjen, og skal godkjennes av Datatilsynet. Bransjenormen kan dermed benyttes for å dokumentere at en virksomhet følger personvernreglene.

Hva ligger i begrepet «informasjonssikkerhet»?

Datatilsynet definerer i sammenheng med GDPR informasjonssikkerhet som «sikring av opplysninger ved å bruke prinsippene om konfidensialitet, integritet og tilgjengelighet».

Hva er en personvernerklæring?

Først og fremst forteller personvernerklæringen på en enkel og forståelig måte hvilke data som lagres og hvorfor og hvordan. Det stilles sterkere krav til tilgjengeligheten, språkmessig og ellers, enn tidligere, og må tilpasses ulike målgrupper. Registrerer dere personopplysninger om barn, må også barn kunne forstå personvernerklæringen.

Hva er et personvernombud?

Personvernombudet er virksomhetens bindeledd mellom ledelsen, de registrerte og Datatilsynet (tilsynsmyndigheten). Det kan være en ansatt, eller en profesjonell tredjepart. Vi tilbyr personvernombud som en tjeneste for virksomheter der det ikke er hensiktsmessig med egne ansatte personvernombud.

Vår fem-stegs-modell for å bli GDPR Compliant