Det er idag mange krav til bedrifter når det gjelder GDPR

Datatilsynet er tydelig på at det viktigste ved GDPR er hvordan systememene i bedriften fungerer for å ta vare på GDPR på en god måte. Du må ha system for internkontroll og informasjonssikkerhet.

Internkontrollsystem er et ord som er godt kjent hos alle bedrifter som har jobbet med HMS og er i prinsippet bare en systematisk oversikt over hva en bedrift må gjøre hvert år for å sikre at  arbeidet ikke bare blir ingangsatt, men fulgt opp og evaluert hvert år. Informasjonssikkerhet er også et ord som de fleste ledere forstår selv om man i for stor grad tror det handler om å ha gode løsninger knyttet til data. Sikkerhet handler i stor grad om holdninger og gode rutiner, mye mer enn å ha dyrt utstyr.

Datatilsynet sier blandt annet følgende om arbeidet med GDPR:

Ansvarlighet, internkontroll og informasjonssikkerhet

Personvernforordningen stiller krav til den behandlingsansvarliges ansvar. Det innebærer å sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre og påvise at personopplysninger behandles i samsvar med regelverket.
Dersom det blir behov for det, skal de tiltakene man har valgt endres og oppdateres. Dette kan oppsummeres som rutiner for oppfyllelse av virksomhetens plikter og de registrertes rettigheter, og rutiner og tekniske tiltak for informasjonssikkerhet.

Hva er internkontroll?

Virksomheten må sikre en forsvarlig behandling av personopplysninger ved at man ivaretar den registrertes rettigheter og friheter, samtidig som man ivaretar virksomhetens mål ved behandlingen. Etter personvernforordningen (artikkel 24) innebærer det en forholdsmessighet hvor man ser på behandlingens art, omfang, formål og sammenheng, samt risikoene for fysiske personers rettigheter og friheter, og ut fra det gjennomfører egnede tekniske og organisatoriske tiltak. Internkontroll skal være ledelsens verktøy for å ivareta sitt ansvar og demonstrere etterlevelse etter personvernregelverket, og de ansattes verktøy for å utføre oppgaver på en forsvarlig og sikker måte. Tiltakene skal dokumenteres og oppdateres ved behov. 

Om informasjonssikkerhet

Personvernregelverket krever at personopplysninger skal beskyttes tilfredsstillende mot uberettiget innsyn og endringer. Samtidig skal opplysningene være tilgjengelige for de som trenger opplysningene, når de har behov for dem.

Informasjonssikkerhet dreier seg om å håndtere risikoen for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. Dette gjøres ved først å identifisere hvilke personopplysninger virksomheten har. Deretter gjennomføres en risikovurdering for å avklare om eksisterende sikkerhetstiltak er tilfredsstillende.

Dersom risikovurderingen avdekker manglende tiltak må det vurderes om nye tiltak skal iverksettes for å oppnå tilfredsstillende sikkerhetsnivå for personopplysningene. Kontrollrutiner må utarbeides og jevnlig følges, for å kontrollere at tiltakene blir fulgt opp og virker etter hensikten.

En slik fremgangsmåte som skissert ovenfor vil sammen med tilhørende rutiner kunne utgjøre virksomhetens styringssystem for informasjonssikkerhet. Dette systemet for informasjonssikkerhet vil være en sentral del av virksomhetens internkontroll. Det er utviklet standarder som beskriver hvordan styringssystem for informasjonssikkerhet skal etableres

( Hentet fra datatilsynets sider om gdpr august 2020)

Det er viktig å finne nøklene til å løse utfordringene med GDPR. Vi forsøker å gi deg disse gjennom et system for internkontroll. Se et eksempel på gdpr.romerike.com 

Hvilke områder bør man gjøre noe med ?

Vi har valgt ut 4 områder i vårt system. Systemet må ikke være mer avansert enn nødvendig, og det må være nok til å tilfredstille personverlovene for mindre bedrifter.

For større bedrifter med mer enn 50 ansatte bør man vurdere et større system som samtidig er integrert med HMS.

Vårt system tar for seg

1) Internkontrollsystemet

2) Risikoanalyser

3) Avvikskontroll

4) Handlingsplan

Skjemaene er enkel og kan fylles ut direkte på en nettside med et enkelt passord.

Vi kan hjelpe deg å fylle ut alle disse skjemaene og følge deg opp hvert år slik at du følger standardene knyttet til GDPR.

NB: Formelt sett er det KUN advokater som kan gi juridiske råd om lover og regler i Norge. Vi kan derfor bare hjelpe deg med opplæring og gi gode tips til hva du bør gjøre med ditt GDPR system.

Er det spesielle utfordringer du har så kjenner vi også gode advokater som har spesielt god kompetanse på GDPR. Vi anbefaler f.eks. Jan Sandtrø - se https://sandtro.no/  

Ønsker du å få et GDPRsystem så ta kontakt

Epost: ragnvald@romerike.com, eller mobil 95751335

Du kan også lese flere detaljer på vår nettside om personvern og loven om GDPR se www.pvern.no