3: Vurdere Risiko, planlegge og prioritere tiltak
Det er svært krevende å planlegge en GDPR løsning, men noen ting må du komme igang med for å tilfredstille kravene til et internkontrollsystem.
I denne første planleggingsfasen må du finne ut av personvernerklæringen, databehandleravtale og interkontroll
Vi anbefaler deretter at du kjøper et abbonement som vi tilbyr for månedlig oppdatering siden det blir mye å fikse alt med en gang - se www.pvern.no eller se tilbudet her
Personvernserklæringen
Personvernsærkleringen skal fortelle klart og tydelig, i lett forståelig språk, hva som samles inn, hvorfor det samles inn, og hvor det eventuelt sendes videre. Her legger du gjerne samtykke skjema vedsiden av hvis du bruker det som behandlingsgrunnlag. I ditt abbonement finner du en mal for personvernerklæring
Erklæringen er viktig så kunder forstår hva deres opplysninger blir samlet for, så de kan gjøre et informert valg om de vil la deres opplysninger lagres.
Vi anbefaler at du først tar utgangspunkt i vår mal for en personvernerklæring og at du samtidig husker på at du må oppgi hvilket grunnlag som du samler inn data etter.
Etablering av internkontroll
Med god internkontroll og et bevisst forhold til å sikre opplysninger, sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig. Datatilsynet har en utdypende veiledning her som vi oppsummerer videre.
Ansvarlighet, internkontroll og informasjonssikkerhet
"Personvernforordningen stiller krav til den behandlingsansvarliges ansvar. Det innebærer å sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre og påvise at personopplysninger behandles i samsvar med regelverket."
Om det blir behov for det, skal valgte tiltak endres og/eller oppdateres. Man kan oppsummere dette som rutiner som skal som skal oppfylle bedriftens plikter og kundenes rettigheter, i tillegg til rutiner og tekniske tiltak for informasjonssikkerhet.
Hva er internkontroll?
Hvem som helst bedrift må forholde seg til flere forskjellige regelverk. Disse kan for eksempel handle om helse, miljø, sikkerhet, regnskap eller avgifter. De som lager regelverkene, forventer at bedriftene har en systematisk tilnærming til å følge regelverkene.
Det første man må gjøre er å finne ut er hvilke bestemmelser som er relevante til din bedrift. Noen bestemmelser er relevante for ledelsen i bedriften, mens andre bestemmelser er ment for å påvirke de ansatte sitt arbeid. Det er også bestemmelser som gir andre personer eller grupper rettigheter, og som bedriften har plikt til å oppfylle.
Internkontroll er ment for å ha et godt system på dette, og består gjerne av tre hovedelementer:
- Styrende elementer, som for det meste retter seg mot ledelsen, herunder beslutninger føringer de legger for internkontroll.
- Gjennomførende elementer, som hovedsaklig retter seg mot de ansatte. Her finner man beskrivelse av rutiner som er tilpasset den enkeltes arbeidssituasjon.
- Kontrollerende elementer, som hjelper med å få styr på avvik fra systemet, og passer på at det gjennomføres periodiske gjennomganger.
Internkontroll kalles i ulike sammenhenger et kvalitetssystem, styringssystem eller ledelsessystem for etterlevelse av regelverk.
Vi har laget et interkontrollsystem for deg som kjøper abbonement hvor vi i både har avvikslogg og et enkelt system for handlingsplan og gjennomgang av 4 årlige møter i internkontrollsystemet ditt. Et eksempel ligger ute åpent på https://gdpr.romerike.com/
Husk at ditt internkontrollsystem må oppdateres og at det er viktig med loggføring av alt du gjør for å kunne dokumentere for datatilsynet ved en kontroll.
Om informasjonssikkerhet.
Personvernregelverket krever at personopplysninger skal beskyttes tilfredstillende mot uberettiget innsyn og endringer. Samtidig skal opplysningene være tilgjengelig for de som trenger dem, når de har behov for det.
Informasjonssikkerhet handler om å håndtere risikoen for at personopplysninger og andre verdier blir ivaretatt på en tilfredstillende måte. Dette gjøres ved å først identifisere hvilke personopplysninger bedriften har. Når dette er gjort gjennomfører man en risikovurdering for å avklare om sikkerhetstiltak som allerede er tilstede er tilfredstillende.
Dersom risikovurdering avdekker at tiltakene ikke er nok må det vurderes om nye tiltak skal settes for å oppnå tilfredstillende sikkerhetsnivå for verdiene. Kontrollrutiner må utarbeides og jevnlig følges, for å passe på at tiltakene blir fulgt opp og virker etter hensikt.
Dette systemet for informasjonssikkerhet vil være en sentral del av bedriftens internkontroll.
Du har nå snart gjennomført de viktigste delene og gjenstår nå siste del 4 som handler om den viktige vurdering av tiltak og oppfølging
1: Har du laget en personvernerklæring som er synlig på nettsidene dine når kundene skal kjøpe varer ?
2: Hvilke behandlingsgrunnlag har du valgt for å samle inn personopplysninger ?
3: Har du behov for samtykke fra dine kunder, eller har du en legitim grunn til å samle inn opplysninger uten samtykke ?
4: Har du tenkt på hvordan du skal kunne vise info som du har lagret til dine kunder når de ber om det. .
5: Hvorfor må en bedrift ha både et system for å håndtere avvik og logger rundt GDPR.
6: Hva er viktig for datatilsynet å finne ut når de gjennomfører kontroll ?