Makuleringsbloggen - En blogg fra NG Secure AS

GDPR-året har startet: Økt fokus på personvern

Skrevet av NG Secure | 8. januar 2018

GDPR-året har startet. Det betyr økt fokus på personvern. Bedrifter, organisasjoner og offentlig virksomheter må ha et regelverk på plass som skal hindre sensitiv informasjon på avveie. For dårlig informasjonssikkerhet kan gi millionbot.

EUs personvernforordring (GDPR) blir norsk lov 25. mai. Da styrkes personvernet, og det er et krav at virksomhetene skal ha interne regler på plass før det. I forhold til dagens personopplysningslov kommer det nye krav, flere plikter og større ansvar. Ansvaret for å oppfylle de nye kravene har daglig leder.

Med ny lov endres kravene til internkontroll. Virksomhetene må ta større ansvar selv. Dette egenansvaret erstatter den tidligere forhåndsgodkjennelsen fra Datatilsynet. Dermed faller ordningen med melde- og konsesjonsplikt bort. Til gjengjeld kan man regne med mer etterkontroll og altså strengere sanksjoner ved regelbrudd.

Informasjonssikkerhet

Det understrekes enda klarere enn før at informasjonssikkerhet er en kontinuerlig prosess hvor virksomheter plikter å vurdere løpende om de sikkerhetsrutinene de har valgt, er gode nok. Nye tiltak skal iverksettes hvis de pålagte risikovurderingene viser at sikkerheten ikke tilfredsstiller kravene. Det gjelder også vurdering av teknologi, som for eksempel hvordan makulering av dokumenter skal foregå.

Andre viktige endringer blir blant annet:

  • Bøtenivået økes til inntil 20 millioner euro for alvorlige brudd på regelverket
  • Skjerpede krav om å melde brudd på personvernet
  • Det skal være åpenhet om hvordan personopplysninger behandles og informasjonen om det skal være forståelig for alle.
  • Private virksomheter må innhente samtykke fra den enkelte for å kunne registrere personopplysninger. Det er også en viktig rettighet at den enkelte skal kunne korrigere og eventuelt få slettet personopplysninger om seg selv.
  • Risiko og personvernkonsekvenser skal vurderes.
  • Personvernerklæringer skal utarbeides.
  • Noen virksomheter får krav om å opprette personvernforbud.

Disse og flere endringer må innarbeides i det interne regelverket til alle virksomheter. Nå haster det virkelig med å komme i gang med det arbeidet. Vi har utarbeidet en sjekkliste som kan lastes ned, og som vi håper kan være til nytte.