Gode rutiner for makulering av dokumenter er en forutsetning for å oppfylle GDPR-kravene. Dokumenter med personopplysninger eller annen sensitiv informasjon på avveie kan i verste fall medføre millionbøter og omdømmetap. Her er 10 tips for å unngå uønskede situasjoner.

EUs personvernforordning (GDPR) krever økt informasjonssikkerhet og sterkere personvern. En del av kravene kan på en enkel måte oppfylles med en låsbar makuleringsbeholder for gjenvinning av papir og lagringsenheter.

Forhåpentligvis er du blant dem som har etablert et internt regelverk for å følge bestemmelsene i personopplysningsloven der EUs personvernforordning (GDPR) er innlemmet. I den daglige virksomheten vil du testes for å se hvor effektivt regelverket er. Bedriften bør være forberedt på at det kan oppstå avvik og at slike tilfeller umiddelbart må meldes til Datatilsynet.

Personvernreglene kan være omfattende, og flere velger å sette håndteringen bort til tredjepart. Virksomheten har uansett et ansvar for at den eksterne databehandleren innfrir GDPR-kravene. Her er det mest sentrale du bør kjenne til når du setter bort slike oppgaver.

Skal bedriften flytte, eller skal du bytte kontor? I begge tilfeller kan det lett skje at sensitiv informasjon kommer på avveie. Derfor kan det være lurt å planlegge et opplegg for sortering og sikker makulering som en del av flytteprosessen. Dokumenter på avveie kan både føre til bøter og omdømmetap. I denne bloggen finner du noen tips jeg håper kan være nyttige ved flyttingen.

Det er snart fire år siden GDPR ble en del av den norske personopplysningsloven. Før det skjedde, var det nok mange som lurte på hva som ville bli konsekvensene av de nye reglene for personvern. de siste årene har vist oss noe av det. Det har vært mange klager på brudd på bestemmelsene og mange GDPR-kontroller både her hjemme og i andre land. Det har blant annet ført til flere millionbøter. Vi må være forberedt på at EUs personvernforordning vil prege de neste årene også. Da kan det være greit å ha noenlunde oversikt over hva som er personopplysninger og andre sensitive data. Har din virksomhet det?

En IS-kvinnes retur med to barn til Norge har skapt regjeringskrise. Helsen til det ene barnet er begrunnelsen for at kvinnen fikk komme tilbake. Det har ført til krav om offentliggjøring av hva som feiler barnet. Med henvisning til taushetsplikten har ikke det skjedd. Det er forhold jeg ikke skal kommentere, men saken kan være en påminnelse om at helse og barn har et særlig vern også i henhold til personvernreglene i GDPR og personopplysningsloven.

Det er snart et og et halvt år siden GDPR ble en del av norsk lovgivning. Det var litt senere enn i resten av Europa. I løpet av den tida har vi lært mer om hva slags praksis Datatilsynet i Norge og tilsynene i andre land vil legge seg på når det gjelder brudd på personvernreglene. Reaksjonene varierer fra korrigeringer og irettesettelser til store millionbøter. Årsakene til reaksjonene varierer også. Blant annet dreier det seg om manglende sletterutiner og manglende personopplysningssikkerhet i datasystemer, og det gjelder både opplysninger i papirdokumenter og i digitale lagringsmedier.

Hender det at du på jobben gjør notater eller stikkord på post-it-lapper fra samtaler med andre? Lar du disse ligge på bordplaten eller fester dem på veggen? Eller hender det at andre dokumenter med personopplysninger blir liggende på pulten din når du ikke er der? Ja, da kan det være brudd på personvernreglene i GDPR og medføre bot. En dansk kommune unngikk bot fordi de makulerte post-it-lappene etter kort tid. 

Et eiendomsselskap har satt tysk rekord i GDPR-bot. Da det tyske datatilsynet tok en sjekk hos selskapet, konkluderte de med at det ikke hadde gode nok rutiner for sletting og hadde dessuten ikke slettet personopplysninger som de ikke lenger hadde grunnlag for å ha lagret. Om lag 150 millioner kroner syntes datatilsynet var en passende bot for dette bruddet på EUs personvernforordning GDPR).