Nye personvernregler - GDPR

I Mai blir EUs nye personverndirektiv innført, og dette direktivet vil også gjelde i Norge. I Norge har vi historisk en av de strengere personvernlovene i Europa, så for norske virksomheter som følger dagens regelverk, vil ikke den nye forordningen medføre store endringer. Vi får mange spørsmål rundt GDPR, og lister opp noen av de mest sentrale endringene som kommer i den nye forordningen nedenfor.


Litt forenklet, kan vi si at GDPR kommer som en motvekt mot enkelte store amerikanske programvarehus, og disse selskapenes evne og vilje til å innhente personopplysninger fra sine brukere. Hensikten er å gi den enkelte forbruker en bedre beskyttelse, og fra vår side ønsker vi kravene i den nye forordningen velkommen!

 

Alle skal ha en forståelig personvernerklæring

Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.


Alle skal vurdere risiko og personvernkonsekvenser

Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.


Alle skal bygge personvern inn i nye løsninger

De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.


Her er alle våre systemer hvor personopplysninger behandles berørt. Vi jobber med å kartlegge betydningen for det enkelte systemet, og vil her sende ut mer informasjon løpende til berørte kunder.


Mange virksomheter må opprette personvernombud

Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart.

Alle offentlige virksomheter skal opprette personvernombud. Private virksomheter som behandler personopplysninger i stor skala skal også ha et personvernombud. Dette gjelder flere av våre kunder, og vi ser på løsninger hvor personvernombud kan leies som en tjeneste.

 

Alle databehandlere får nye plikter

Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.

Dette innebærer at alle våre kunder vil få tilsendt en ny versjon av sin databehandleravtale i løpet mars og april 2018! I denne sammenhengen er Innit databehandler og alle våre kunder er behandlingsansvarlige.

 

Alle må kunne oppfylle borgernes nye rettigheter

Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned.

 

 

GDPR er et stort område, og vi har i denne omgangen valgt å belyse noen generelle områder som berøres av GDPR. For de av våre kunder som benytter systemer og programmer som vi i Innit har levert, vil det fremover komme mer direkte informasjon vedrørende det berørte systemet.

Ønsker du mer informasjon rundt GDPR, så er du velkommen til å kontakte oss på gdpr@innit.no eller ved å ringe vår kundeservice på telefon 40 00 33 55.