Har virksomheten en oppdatert og lett tilgjengelig personvernerklæring?
Personer dere behandler opplysninger om har rett til å vite hvilke opplysninger som behandles og hvordan, jf. GDPR artikkel 13 og 14.
En mangelfull eller utdatert personvernerklæring er ofte noe av det første Datatilsynet reagerer på. Det handler ikke bare om å «ha et dokument», men om å gi tydelig og forståelig informasjon til de registrerte. Start med å kartlegge dataflyten deres: hvilke personopplysninger dere behandler, hvordan de behandles, hvorfor dere gjør det, og hvilket rettslig grunnlag dere bruker. Deretter må dette kommuniseres klart til de registrerte. Husk også å opplyse om hvem som eventuelt mottar opplysningene, hvor lenge de lagres, hvilke rettigheter de registrerte har, hvordan disse kan utøves, og at de kan kontakte Datatilsynet dersom de ønsker å klage.
Ja, vi har en oppdatert og lett tilgjengelig personvernerklæring
Delvis – vi har en overordnet erklæring som sjelden oppdateres
Vi er i gang med å utarbeide eller oppdatere den
Nei, vi har ikke en tilgjengelig personvernerklæring
Har dere en oppdatert behandlingsprotokoll?
Alle virksomheter skal ha en skriftlig oversikt over sine behandlinger av personopplysninger, jf. GDPR artikkel 30.
Uten en fullstendig behandlingsprotokoll er det umulig å dokumentere etterlevelse av GDPR (ansvarlighetsprinsippet). Det blir også vanskelig å vurdere hvilke behandlinger som krever en konsekvensvurdering (DPIA). Start med å kartlegge prosessene deres: i hvilke situasjoner håndterer dere personopplysninger? Typiske områder er personalforvaltning, kundehåndtering, markedsføring og økonomi. Deretter må dere dokumentere kravene i artikkel 30: navn på behandlingen, formål, kategorier av registrerte og personopplysninger, mottakere, rettslig grunnlag, lagringstid og sikkerhetstiltak.
Ja, vi har en komplett protokoll som oppdateres løpende
Delvis – vi har en protokoll, men den oppdateres kun ved nye prosjekter
Nei, men vi opplever likevel å ha oversikt
Vet ikke – jeg er usikker på om dette finnes hos oss
Har dere en prosess for når og hvordan dere gjennomfører DPIA?
Ved behandlinger med høy risiko for enkeltpersoners rettigheter, skal det gjennomføres en konsekvensvurdering før oppstart, jf. GDPR artikkel 35.
Å innføre nye systemer eller prosesser uten å vurdere risiko kan føre til kostbare sanksjoner og erstatningskrav. Start med en forhåndsvurdering for å avgjøre om en DPIA er nødvendig. En konsekvensvurdering består av tre sentrale deler:
Risikovurdering: Kartlegg risikoer for de registrertes rettigheter, som uautorisert tilgang, datatap eller uforutsett bruk av data. Konsekvensanalyse: Vurder hvor alvorlige konsekvensene kan bli dersom noe går galt. Risikoreduserende tiltak: Identifiser tiltak som reduserer risikoen, for eksempel kryptering eller strengere tilgangsstyring.
Ja, vi har en tydelig og etablert prosess
Vi gjør det av og til, særlig i større prosjekter
Vi er i gang med å etablere en prosess
Nei, vi gjennomfører ikke DPIA
Klarer dere å håndtere de registrertes rettigheter innen 30 dager?
Retten til innsyn, retting og sletting skal som hovedregel håndteres innen én måned.
Manuelle prosesser er sårbare for feil og avhengige av enkeltpersoner. Etabler en standardisert rutine eller sjekkliste for hvordan dere håndterer innsyn, retting og sletting. Sørg for at alle relevante ansatte kjenner både prosessen og tidsfristen, slik at oppgaven prioriteres når den oppstår. Ta alltid utgangspunkt i behandlingsprotokollen når dere håndterer registrertes rettigheter.
Ja, vi har klare og etablerte rutiner
Vi håndterer forespørsler manuelt når de kommer
Vi jobber med å få dette på plass
Nei, vi mangler rutiner
Har ansatte fått opplæring i personvern?
Alle som behandler personopplysninger – inkludert ledelsen – skal forstå ansvar og risiko.
Teknologi hjelper lite hvis ansatte ikke forstår hva en personopplysning er. I praksis er ansatte enten deres sterkeste forsvar eller deres største sårbarhet. De fleste personopplysningsbrudd skyldes menneskelige feil. En godt opplært ansatt oppdager og stopper feil før de skjer. Dersom et avvik først oppstår, har dere kun 72 timer på å melde det til Datatilsynet. Uten kunnskap og tydelige rutiner øker risikoen for sanksjoner og erstatningskrav. Dokumentert opplæring er også et viktig bevis på at dere oppfyller ansvarlighetskravet.
Ja, alle får jevnlig og dokumentert opplæring
Nye ansatte får opplæring ved oppstart
Vi planlegger et opplæringsløp
Nei, det er ikke gjennomført opplæring
Har dere nødvendige avtaler med leverandører og samarbeidspartnere?
Behandling av personopplysninger i samarbeid med andre må reguleres gjennom avtaler, jf. GDPR artikkel 24, 26, 28 og 32.
Uten avtaler har dere i praksis ingen kontroll over hvordan leverandører håndterer data. En korrekt avtale sikrer at leverandøren kun behandler opplysningene etter deres instruksjoner, ikke bruker dem til egne formål, har tilstrekkelig sikkerhet og varsler dere ved avvik. Manglende avtaler anses som et alvorlig avvik ved tilsyn. Start med å avklare rollefordelingen: databehandler, felles behandlingsansvar eller selvstendig behandlingsansvar. Deretter må dere inngå riktige avtaler som regulerer forholdet.
Ja, vi har riktige avtaler med alle relevante parter
Vi har avtaler med de fleste, men mangler for noen
Vi jobber med å kartlegge og få på plass avtaler
Nei, vi har ikke nødvendige avtaler
Har dere en rutine for å håndtere personopplysningsbrudd?
I enkelte tilfeller skal brudd meldes til tilsynsmyndigheten innen 72 timer, jf. GDPR artikkel 33.
Når et avvik oppstår, begynner tiden å løpe umiddelbart. Uten gode rutiner risikerer dere å underrapportere, overrapportere eller ikke overholde fristen. En god rutine bør inneholde: hva som regnes som et avvik, hvem som skal varsles, hvordan hendelsen dokumenteres, og hvordan dere vurderer meldeplikt. Det viktigste er at rutinene er kjent i organisasjonen.
Ja, vi har en fungerende og kjent rutine
Vi har en plan, men den er ikke testet i praksis
Vi jobber med å etablere en rutine
Nei, vi har ingen rutine
Har dere rutiner for sletting og lagringsbegrensning?
Personopplysninger skal ikke lagres lenger enn nødvendig.
«Greit å ha»-opplysninger utgjør en juridisk risiko. Fastsett tydelige slettefrister for hver type opplysning, og gjør sletting til en fast del av arbeidet. Ta utgangspunkt i behandlingsprotokollen, og dokumenter lagringstid. Oppfordre også ansatte til å rydde i e-post og filer – e-post skal ikke fungere som arkiv.
Ja, vi har faste rutiner for jevnlig sletting (manuelt eller automatisk)
Vi sletter data ved behov, men ikke systematisk
Vi jobber med å få dette på plass
Nei, vi lagrer data uten klare tidsgrenser
Jobber dere med innebygd personvern og personvern som standard?
Personvern skal bygges inn i løsninger og prosesser fra start, jf. GDPR artikkel 25.
Å legge til personvern i etterkant er både dyrt og ineffektivt. GDPR må være en del av virksomhetens DNA. Gjør det til en regel å vurdere personvern før nye systemer tas i bruk eller prosjekter startes. Still spørsmål som: hvilke opplysninger behandles, hvem har tilgang, hvor lagres de, og hvordan begrenses tilgangen? Innebygd personvern handler om å gjøre riktige valg til de enkleste valgene.
Ja, dette er en integrert del av hvordan vi jobber
Vi vurderer det i enkelte prosjekter
Vi jobber med å innføre dette
Nei, dette er ikke en del av vår tilnærming
Har dere identifisert behandlingsgrunnlag for all behandling?
All behandling av personopplysninger må ha et gyldig behandlingsgrunnlag, jf. GDPR artikkel 6.
Rettslig grunnlag er fundamentet i GDPR. Uten det er behandlingen ulovlig fra start. Det avgjør også hvilke rettigheter den registrerte har. Feil eller manglende grunnlag kan føre til sanksjoner, forbud eller andre tiltak. Dere må kunne forklare hvorfor dere behandler opplysningene – og at dere har rett til det.
Ja, alt er dokumentert og knyttet til riktig grunnlag
Vi har gjort det for det meste
Vi jobber med det
Nei, dette er ikke dokumentert
Har dere tilstrekkelige sikkerhetstiltak?
Sikkerhetstiltakene skal stå i forhold til risikoen, jf. GDPR artikkel 32.
Sikkerhet handler både om tekniske og organisatoriske tiltak. Det holder ikke å ha gode rutiner dersom systemene er sårbare, eller ansatte ikke følger dem. GDPR krever et sikkerhetsnivå som står i forhold til risikoen. Eksempler er tofaktorautentisering, kryptering, tilgangsstyring og opplæring.
Ja, vi følger etablerte standarder og beste praksis
Vi har noen grunnleggende tiltak
Vi jobber med å styrke sikkerheten
Nei, sikkerheten er ikke tilstrekkelig
Har dere kontroll på overføring av personopplysninger utenfor EU/EØS?
Slike overføringer stiller strenge krav til dokumentasjon og mekanismer.
Overføring av personopplysninger utenfor EU/EØS er en av de mest krevende problemstillingene i GDPR. Når personopplysninger forlater EU, svekkes beskyttelsen. Selv tilgang fra et tredjeland kan være nok til å regnes som en overføring. Start med å kartlegge overføringene deres. Bruk riktige mekanismer, som standardavtaler, gjennomfør en TIA (Transfer Impact Assessment), og dokumenter alt i behandlingsprotokollen.
Ja, vi har full oversikt og bruker gyldige overføringsmekanismer
Vi vet hvor data lagres, men mangler formelle mekanismer
Vi jobber med å kartlegge dette
Nei, vi har ikke kontroll
