Det første GDPR-året har gått. For Datatilsynet har de nye personvernreglene ført til et travelt år med mange klager og mye saksbehandling. Noen store GDPR-bøter har det blitt selv om de fleste sakene er løst ved at virksomheter har lagt om til sikrere rutiner for behandling av personopplysninger. Klagene og behandlingen av sakene betyr imidlertid ekstra ressursbruk for alle virksomhetene som berøres. Hvordan står det til hos dere? Har dere sikkerhetsrutiner på plass som hindrer at dere får klager, og er dere godt nok forberedt hvis datatilsynet kommer på en uanmeldt GDPR-kontroll?
Tidligere var det en ordning med meldeplikt eller søknad om konsesjon for behandling av personopplysninger. Det er som kjent falt bort. I stedet har alle norske virksomheter selv ansvar for å oppfylle kravene i den nye personopplysningsloven. Hovedansvaret har daglig leder.
Med det nye ansvaret følger også flere plikter. GDPR pålegger virksomheten å gjennomføre en rekke tiltak. I stedet for å godkjenne slike tiltak på forhånd vil Datatilsynet foreta hyppige etterkontroller, og det har blitt strengere sanksjoner ved regelbrudd. Den høyeste boten som hittil er varslet i Norge, er på 2 millioner kroner.
Folk er også blitt mer oppmerksomme på de nye reglene og følger med på hvordan opplysningene deres blir brukt. Datatilsynet har fram til sommeren fått inn nærmere 2000 saker til behandling. De aller fleste er avviksmeldinger. Om lag 350 er klager fra privatpersoner. Temaer som går igjen, er ønsker om å bli slettet og sensitive data på avveier.
Kravet om å bli slettet er et av de sentrale punktene i den nye personopplysningsloven. Personopplysninger skal slettes når det ikke lenger er grunnlag for å ha dem lagret, eller når personer krever at de skal slettes. Det kalles "retten til å bli glemt" og gjelder personopplysninger lagret både på papir og digitale lagringsmedier. Dere må derfor ha rutiner for sikker sletting av disse. Husk da at dette kravet gjelder dokumenter i arkiver og data i gamle PCer som ikke lenger er i bruk. Makulering er en sikker metode for å oppfylle kravet om sletting.
Slike rutiner er det viktig å ha for annen sensitiv informasjon også. Kommer de på avveie, kan det koste dyrt i form av omdømmetap og tapt konkurransekraft.
At ett-årsdagen for innføringen av GDPR er passert, kan være en god anledning til å ta en ny titt på eget regelverk for å være enda bedre forberedt hvis Datatilsynet skulle komme på besøk. Det vil kreve litt merarbeid, men det kan bli dyrere å la være.
Et utgangspunkt for en slik gjennomgang kan være å se på de kravene og pliktene som personvernreglene nå pålegger virksomhetene. Informasjonssikkerhet og internkontroll blir de to viktigste stikkordene da. Det forutsettes at man har en systematisk beskrivelse av rutiner, har foretatt en risikovurdering og vedtatt tiltak for å sikre at virksomheten oppfyller pliktene og de registrertes rettigheter.
Rutinene og tiltakene skal hindre at personopplysningene kommer på avveie. Dere må da først kartlegge hvilke personopplysninger dere lagrer og behandler. Så må dere gjennomføre en risikovurdering for å finne ut om dere har gode nok sikkerhetstiltak. Er sikkerheten for dårlig, skal nye tiltak utarbeides og gjennomføres. Dette skal være en kontinuerlig prosess.
NG Secure har laget en gratis sjekkliste som kan hjelpe deg med gjennomgangen av eget regelverk. Den finner du nedenfor.
Vi kan også tilby sikker makulering av papirdokumenter og digitale lagringsmedier.