GDPR Prosjektgjennomføring

Hvordan omstiller man en virksomhet til ny personvernlov.

GDPR er ikke et program/app man installerer også er alt på plass. Enkelte kjøper informasjonskapsler/cookie tjeneste til nettsiden sin, hvor besøkende kan gi samtykke til at dette brukes. Dette skal være unødvendig i Norge og vil ødelegge brukeropplevelsen, les tidligere innlegg. Enkelte har fått med seg at man må legge ut en personvernerklæring på nettsiden, men her er det krav til hvilken informasjon som skal ut. Les mer her. Har bedriften også en Facebook side må personvernerklæringen også legges ut her. Les mer om dette her.

GDPR er ikke en konsulent (personvernombud) som man leier inn også er alt på plass, vedkommende trenger fullstendig innsyn i alle rutiner prosesser systemer policyer og med dette gir man råd for det som bør korrigeres. Bedriften kan velge å ikke følge rådene, det er likevel bedriften som har det juridiske ansvaret for at personvernlovgivningen følges. Les mer om rollen til et Personvernombud her.

Praktisk eksempel: Konsulent sender Behandlingsprotokoll til utfylling. Dette med eksempler og forklaring til utfylling. Her listes systemer underleverandører med mer og hva disse behandler av personopplysninger. Dette dokumentet er avgjørende for hele prosjektet. Konsulent kontrollerer lovligheten av behandlingen og kontrollerer om leverandører er innenfor lovverket. En gjennomgang av Databehandleravtaler blir utført. Protokollen lagres og oppdateres videre av behandlingsansvarlig (bedriften).

Skulle man vært så uheldig å få et tilsyn, sender Datatilsynet en teknolog og en jurist. De vil ikke logge seg på nettverket for å kontrollere om best mulig sikringstiltak er implementert, eller sjekke om WordPress tillegg er konfigurert korrekt. De vil kontrollere at man har alt i orden via dokumentasjonskravene. Alle kan sende avvikmelding til tilsynsorganet og varsle om regler ikke blir fulgt. Loven er loven og alle skal følge loven. Uheldigvis får man ikke et godkjenningsstempel på at man følger loven, men det er mulig vi vil få noe slik på sikt. I Danmark har det danske datatilsynet gått sammen med det danske revisorforbundet (FSR) og utarbeidet en revisorerklæring som skal gi sikkerhet for at databehandlere etterlever kravene. Les mer her.

Med det sagt er Datatilsynet få (for få) ansatte, og de vil måtte prioritere. De er derimot pliktig til å følge opp. Har man ikke gjort noe for å følge nytt regelverk vil nok bøtesats bli større. Regner også med at vi vil se mer bøter i Norge fremover.

DIGFO leverer en dokumentasjonspakke som inneholder alle krav til dokumentasjon med mer. Sammen med bedriften fylles denne ut og bedriften blir i samsvar. Dokumentene må oppdateres ved endringer, bedriften kan gjøre dette selv eller ha en serviceavtale med oss.

Grunnet tidlig fase GDPR panikk og useriøse aktører har fokuset blitt samtykke, epost og digitalt markedsføring (remarketing). Dette er uheldig, GDPR er så mye mer, men husk at alt er lov hvis man har spurt om lov og fått lov. Resten bør anonymiseres eller pseudonymiseres. Det finnes forøvrig 5 andre behandlingsgrunnlag enn samtykke som ikke bør bli glemt, mulig en av disse passer mye bedre enn samtykke. Les mer om dette her.

EU og EØS er heldig med denne nye loven, endelig får vi mer kontroll over vår data og bedrifter blir stilt til ansvar. Det blir en kost for bedriftene å følge reglene, men ikke nødvendigvis så stor. Som privatpersoner har verden blitt et litt tryggere sted og loven blir nok den nye gullstandarden.

Et samsvarsprosjekt kan være omfattende og tidkrevende, alt etter størrelsen på
virksomheten og oppgavene deres, samt om man fulgte lovverket som var. Tid er derfor vanskelig å anslå

Våre utgitte verktøy som kan hjelpe med prosessen, send oss gjerne en epost for tilbud på assistanse, slik at du kan fokusere på din drift og det du er god på.

Presentasjon (GDPR forklaring)

Kartlegging (kontroll av status på omstilling)

Sjekkliste (liste over dokumentasjonskrav)

Legg inn en kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.