Personvern - dette må din virksomhet vite
I dagens digitale verden er personvern mer viktig enn noensinne. Med stadig økende mengder data som blir samlet inn og brukt av bedrifter, er det avgjørende å beskytte personopplysningene til kunder, ansatte og andre interessenter.
Innhold
- Hvorfor skal vi jobbe med personvern?
- Hvor starter du i arbeidet med personvern?
- Hvordan får du oversikt over virksomhetens personvern?
- Hva er en personopplysning?
- Hva er en behandling av personopplysninger?
- Hva regnes som sensitive personopplysninger i henhold til GDPR?
- Hva innebærer behandling av sensitive personopplysninger?
- Hva er en personvernerklæring?
- Hva skal en personvernerklæring inneholde?
- Hvordan skrive en personvernerklæring?
- Hva er et brudd på personopplysningssikkterheten og hvordan skal det håndteres?
- Hvordan kan din virksomhet få hjelp med personvern?
Hvorfor skal vi jobbe med personvern?
Det første mange tenker på når de hører personvern eller GDPR er bøter. Store bøter. Ja, manglende personvern eller andre brudd på personvernforordningen kan føre til store økonomiske konsekvenser, men dette alene burde ikke være grunnen til at man jobber seriøst med personvern.
God personvernpraksis kan gi økt tillit og troverdighet hos kundene. Det er ofte saker i nyhetsbildet som handler om brudd på personvernforordningen. Dette har resultert i at flere og flere har blitt, og blir, bevisste på sitt personvern. Når din virksomhet viser at dere tar kundenes personvern på alvor, viser du at du bryr deg om deres rettigheter og velvære. Dette kan føre til mer lojale kunder og økt salg, da folk er mer tilbøyelige til å handle med bedrifter de stoler på.
Hvor starter du i arbeidet med personvern?
Noe av det viktigste og mest essensielle du skal ha på plass for et godt arbeid med personvern er en protokoll over behandlingsaktiviteter. En behandlingsprotokoll skal holde oversikt over forskjellige prosesser, eller aktiviteter, i virksomheten der man behandler personopplysninger. Denne skal oppdateres og revideres jevnlig, slik at den gjenspeiler det man faktisk foretar seg i virksomheten. Artikkel 30 i personvernforordningen (GDPR) oppstiller en rekke minimumskrav over hva behandlingsprotokollen skal inneholde. En skal blant annet føre oversikt over hvem man behandler personopplysninger om, hvilke personopplysninger man behandler, og hvilket formål man har med behandlingen.
Dette er en relativt stor oppgave, men det er nødvendig for å etterleve personvernforordningen. En god behandlingsprotokoll vil gjøre det enklere å oppfylle forespørsler fra de dere behandler personopplysninger om, samt gi dere en systematisk oversikt over hvordan dere behandler personopplysninger. For et godt arbeid med personvern - sørg for en god behandlingsprotokoll.
Vil du gjøre det enklere å sette opp og revidere din behandlingsprotokoll? Her kan du lese om vårt verktøy for behandlingsprotokoll, og booke en demo i dag!
Hvordan får du oversikt over virksomhetens personvern?
Etterlevelse av personvernforordningen kan virke litt som en labyrint, man vet hvor målet er, men man sliter med å finne veien dit. Da kan det være lurt å gjennomføre en internkontroll på deres personvern! En ærlig gjennomført internkontroll vil gi virksomheten deres de svarene dere trenger for å jobbe mot GDPR-compliance. Man vil få identifisert manglende dokumentasjon, utdaterte retningslinjer mm. som vil gi deg et slags kart du kan bruke for å manøvrere deg gjennom denne labyrinten.
Hvis dere trenger hjelp til å gjennomføre en internkontroll, enten på personvern eller informasjonssikkerhet, så bistår vi gjerne med dette. Dersom du ønsker et verktøy som kan bistå dere i denne prosessen kan du lese mer om dette her.
Hva er en personopplysning?
For å kunne ta vare på brukere, kunder, ansatte mm. sitt personvern, er det viktig å vite hva en personopplysning faktisk er. En personopplysning er nemlig mye mer enn du tror, sannsynligvis. I følge GDPR (personvernforordningen) er en personopplysning: “enhver opplysning” “om” en “identifisert eller identifiserbar” “fysisk person”. Regelverket kaster altså et rimelig bredt nett.
Dersom en opplysning gjør det mulig å identifisere en person, direkte eller indirekte, så er det en personopplysning, kort fortalt. GDPR gjelder ikke bare for informasjon som blir samlet inn elektronisk, men også personopplysninger på papir eller bortgjemt i gamle arkivskuffer.
Hva er en behandling av personopplysninger?
En behandling er definert i GDPR (personvernforordningen) som enhver operasjon som gjøres med personopplysninger. Dette omfatter blant annet lagring, innsamling, organisering, bruk osv. av personopplysninger. Begrepet behandling i denne konteksten er med andre ord svært bredt. Behandling er teknologisk nøytralt, det betyr at det ikke har noe å si om man skriver ned møtereferat med navn i en notisblokk eller i et Word-dokument. Begge deler regnes som en behandling av personopplysninger i GDPR.
Kort fortalt så er alt du gjør med personopplysninger en behandling som må registreres i en behandlingsprotokoll i tråd med artikkel 30 i GDPR. For å ha et godt personvern og for å etterleve GDPR er det altså svært viktig at man har kontroll på når man behandler personopplysninger.
Hva regnes som sensitive personopplysninger i henhold til GDPR?
Hva regnes som sensitive personopplysninger i henhold til GDPR?Noen kategorier av personopplysninger regnes som sensitive personopplysninger, på fagspråket kalles dette for særlige kategorier av personopplysninger. For disse kategoriene finnes det spesifikke regler og begrensninger. Særlige kategorier av personopplysninger er:
- Opplysninger som avslører etnisk opprinnelse
- Opplysninger som avslører politiske synspunkter
- Opplysninger som avslører religiøs eller filosofisk overbevisning
- Opplysninger om medlemskap i fagforening
- Opplysninger om helse
- Opplysninger om seksualliv eller seksuell legning
- Genetiske opplysninger, for eksempel DNA-profiler
- Biometriske opplysninger for å entydig identifisere en fysisk person, for eksempel fingeravtrykk eller ansiktstrekk.
Dette inkluderer også opplysninger som indirekte kan avsløre informasjon som tilhører noen av disse kategoriene, for eksempel spesifikke matpreferanser eller en søknad om spesialparkeringstillatelse.
Hva innebærer behandling av sensitive personopplysninger?
Som utgangspunkt er det forbudt å behandle sensitive personopplysninger (særlige kategorier av personopplysninger). Den behandlingsansvarlige må finne et passende unntak som skal gjelde for den aktuelle behandlingen. Unntakene er oppført i artikkel 9 nr. 2 i GDPR.
Et eksempel på unntak kan være at den registrerte har gitt et uttrykkelig samtykke til en behandling av en sensitiv personopplysning for ett eller flere spesifikke formål. Det er imidlertid generelt enklest å unngå å behandle sensitive personopplysninger; det pleier å være vanskelig å både finne et rettslig grunnlag i artikkel 6 og et passende unntak i artikkel 9 nr. 2.
Hva er en personvernerklæring?
I en verden der data samles og behandles i en hastighet vi aldri har sett før, er det avgjørende med transparens og trygghet rundt vår personlige informasjon. Her kommer begrepet "personvern" inn, og mer spesifikt, "personvernerklæring".
En personvernerklæring er et dokument eller en del av et nettsted som forklarer hvordan en organisasjon samler inn, bruker, deler og beskytter personopplysninger som de får fra personer. I Norge, som i resten av EU, er det strenge regler for håndtering av personopplysninger under GDPR (Personvernforordningen), og en personvernerklæring er et sentralt element i å oppfylle disse kravene.
Hva skal en personvernerklæring inneholde?
En personvernerklæring skal være tydelig, lett å forstå, og lett tilgjengelig. Den skal blant annet inneholde:
- Identitet: Kontaktinformasjon til virksomheten og eventuelt virksomhetens personvernombud
- Hvilke personopplysninger som samles inn: En liste over de spesifikke typene data som samles inn, for eksempel navn, e-postadresse, geolokalisering, IP-adresse, osv.
- Hvordan personopplysningene samles inn: Forklaring på hvordan dataene blir samlet inn, for eksempel gjennom skjemaer, cookies, osv.
- Formålet med innsamlingen: Hvorfor organisasjonen samler inn dataene, for eksempel for å levere en tjeneste, forbedre brukeropplevelsen, osv.
- Hvem personopplysningene deles med: Eventuelle tredjeparter som har tilgang til dataene, som underleverandører eller partnere.
- Hvordan personopplysningene beskyttes: Sikkerhetstiltak organisasjonen har på plass for å beskytte dataene.
- Rettigheter: Informasjon om individets rettigheter i forhold til sine personopplysninger, inkludert retten til innsyn, retting, sletting, begrensning i behandling, dataportabilitet, og retten til å klage til en tilsynsmyndighet.
Hvordan skrive en personvernerklæring?
Å skrive en personvernerklæring krever en forståelse for både juridiske og tekniske aspekter av personvern. Det er viktig å ta hensyn til følgende:
Når du skal skrive en personvernerklæring, er det viktig å huske på at den skal være lett å forstå. Unngå juridisk sjargong og bruk klart og enkelt språk. Det skal være enkelt for folk å finne og forstå personvernerklæringen din.
I tillegg er det viktig at personvernerklæringen er lett tilgjengelig. Den skal være synlig på nettsiden din, og det bør være en kobling til den på alle sider hvor du samler inn personopplysninger.
Sist, men ikke minst, bør du regelmessig oppdatere personvernerklæringen din. Dette er spesielt viktig hvis du endrer hvordan du bruker personopplysninger.
Personvern er et komplekst område, og det kan være utfordrende å navigere i regelverket. Ved å bruke en personvernerklæring på en effektiv måte, kan du imidlertid demonstrere forpliktelsen din til å beskytte kundenes personopplysninger og bygge tillit med kundene og brukerne dine.
Hva er et brudd på personopplysningssikkerheten og hvordan skal det håndteres?
Et brudd på personopplysningssikkerheten er en hendelse hvor enkeltpersoner har vært utsatt for risiko på grunn av at deres personopplysninger har kommet på avveie. Det kan være alt fra et hackerangrep til en mistet mobiltelefon eller en e-post som er sendt til feil mottaker.
Som regel skal et brudd meldes til Datatilsynet innen 72 timer etter at man har blitt kjent med det. Unntaket er hvis det ikke er sannsynlig at hendelsen utgjør en risiko for individets rettigheter og friheter. Hvis det som har skjedd medfører høy risiko for de personene hvis personopplysninger er kompromittert, bør de også informeres om det som har skjedd.
Hvordan kan din virksomhet få hjelp med personvern?
Vi i Visma Draftit tilbyr mange gode løsninger for å gjøre personvern enklere for din virksomhet. Vi tilbyr verktøy, e-læring og konsulenttimer - eller alt samlet i en rimeligere pakke: Personvern as a Service. Med PaaS får du konsulentbistand fra våre jurister og personvernspesialister som legger en plan for hvordan dere skal lykkes i arbeidet med personvern. Vi tar en hands-on rolle i din reise mot etterlevelse av kravene i Personvernforordningen, og veileder dere til å være compliant på egenhånd i fremtiden! Vi har mange superfornøyde Personvern as a Service-kunder, blant annet Klepp kommune:
Draftit sine verktøy for personvern, kombinert med prosjektledelsen fra deres personvernspesialister, gjorde at vi endelig fikk kontroll i jungelen av registreringer i ulike excel ark.
Irja Marie Stenby
Personvernombud, Klepp Kommune