Få på plass GDPR dokumentasjon i virksomheten!

GDPR står for General Data Protection Regulation. Denne er ment for å beskytte og ivareta opplysninger som bedrifter, foreninger, idrettslag, borettslag, organisasjoner og andre samler inn av personopplysninger og data. GDPR er virksomhetens ansvar for å ivareta personopplysninger om enkeltpersoner. 

Det er viktig at man har et forhold til GDPR, internt og eksternt, og at man må være klar over hvilken risiko virksomheten utsettes for ved å ignorere lovkravene rundt personvernordningen. Det er Datatilsynet som agerer med sanksjoner og bøter dersom loven om personvern ikke overholdes. 
Man må også tenke på omdømme og tillit hos dine ansatte, kunder, leverandører og øvrige samarbeidspartnere om personopplysninger kommer på avveie.

Dokumentasjon krever ikke en dyr programvare, det er tilstrekkelig med tekstbehandlingsdokument og regneark, men man må sørge for at dokumentasjonen er skriftlig og elektronisk. Altså gjøres lett tilgjengelig ved en eventuell kontroll fra myndighetene. 

Artikkel om GDPR fra Leder1 

Her får du svar på det du trenger å vite om GDPR i virksomheten

Hva er konsekvensene for ikke å følge lovverket om personvernet?

GDPR handler først og fremst om trygghet for dine ansatte, klienter og samarbeidspartnere.
Deretter er det virksomhetens renomme og tillit som kan svekkes om ikke man har GDPR på stell.

Du må som virksomhet sørge for at du ivaretar sikkerheten til de du samler inn personopplysninger på.
Det skal ikke være noen virksomheter som har “råd” til å unngå å ta personvernet på alvor.

Man skal også tenke på at man som virksomhet kan bli klaget inn til Datatilsynet om ikke lovverket overholdes.

Ved brudd på regelverket så er det Datatilsynet som gir virksomheten sanksjoner og bøter. Ved grove brudd så kan bøtene bli store.
Det kan påløpe erstatningsplikt for den som bryter loven, man kan få økt kontroll fra myndighetene, og i verste fall risikere tvangsavvikling.
Selv om du oppbevarer begrenset info om personer, så må GDPR være på plass i virksomheten.

Finnes det standard dokumentasjon for GDPR?
Dessverre nei. Det er slik at den enkelte virksomhet må tilpasse GDPR og håndtering av personopplysninger. 
Virksomheter samler inn ulike opplysninger om enkeltpersoner, basert på behov og årsak til at informasjon innhentes. Likeledes må også varslingsrutiner tilpasses virksomheten selv. 

Hvilke fordeler har virksomheten med å dokumentere GDPR arbeidet?

Ved å dokumentere viser dere at virksomheten følger lovverket og gjør tiltak for å sikre personopplysninger.
Det medfører at personer kan føle seg trygge på virksomheten ivaretar GDPR på en forsvarlig måte.
Det bidrar også til å trygge virksomhetens renomme og tillit.
Samtidig er forebygging av mulige brudd på personvernet med på skalere ned risikoer, og minimalisere tiltak ved eventuelle hendelser.

Ikke minst så bidrar dokumentasjonen til å beskytte virksomheten mot mulige brudd, hvor konsekvensene kan bli store i form av bøter og sanksjoner.

Hva er behandlingsgrunnlag?

Enkelt sagt så er  behandlingsgrunnlag årsaken til hvorfor informasjon om personer innhentes, og hva de skal brukes til. Man må altså ha en rettslig grunn for å oppbevare opplysninger. Dette står beskrevet i artikkel 6 om GDPR. https://lovdata.no/lov/2018-06-15-38/gdpr/a6 (Kilde: Lovdata). 

Er jeg innenfor lovverket når jeg har personvernerklæring på hjemmesiden min?

Personvernerklæring på hjemmesiden er en god start, men er langt fra tilstrekkelig.
Du bør unngå å bruke personvernerklæring du finner gratis på nett, kopierer fra andre eller er standard i en hjemmesideløsning.
Personvernerklæringen MÅ altså til enhver tid være tilpasset den enkelte virksomhet.

Skal ansatte også ha personvernerklæring? 

Definitivt. Virksomheter oppbevarer ofte mye informasjon om den ansatte. Dette kan være opplysninger som er nødvendig i forbindelse med lønn, sykdom, referater fra medarbeidersamtaler og andre oppfølgingsmøter som for eksempel i forbindelse med prøvetid. 
Personvernerklæringen tilpasses etter hvilken informasjon virksomheten innhenter fra den ansatte.
Man må også huske på den ansatte må informeres dersom virksomheten deler ansattopplysninger med samarbeidspartnere.
(Regnskapskontor, lønnssystem, programvare, IT konsulenter mv.) 

Hva  må jeg ha klart ved eventuell kontroll fra Datatilsynet?

Først og fremst; vis fram at du tar personvernet på alvor, og at du jobber med informasjon og dokumentasjon.
Dokumentasjon er viktig å ha på plass for å redusere risikoen for at virksomheten bryter loven, unngår overtredelser, bøter og omdømmetap.

Hva er rettighetene til en person som vi oppbevarer opplysninger på?

Ved forespørsel, er virksomheten forpliktet til å gi fra seg all informasjon som er registrert på en person. Dette er personens innsynsrett.
Likeledes kan personer be om å bli slettet eller at informasjonen som oppbevares skal begrenses, endres eller overføres til andre virksomheter.
Ved henvendelser fra personer, må du altså ha “ting på stell” i virksomheten.
De som for eksempel skal ha innsyn i en personalmappe, må forholde seg til reglene i offentleglova og forvaltningsloven.
Det betyr at medarbeidere som ikke har saklig grunn til å se opplysningene, heller ikke skal ha tilgang. 
Virksomheten må dedikere personer som skal ha tilgang til opplysninger om ansatte.

Er det behov for personvernombud i virksomheten? 

Flere offentlige myndigheter og organer er pålagt å opprette eget personvernombud.
I tillegg er også mange virksomheter pålagt å ha eget ombud, dersom det behandles svært sensitive personopplysninger.
Flere og flere virksomheter benytter seg også av ekstern personvernrådgiver.
Ved å benytte en ekstern personvernrådgiver får dere kontroll med GDPR, samtidig som det frigir ressurser og ikke minst tid.
Ellers skal det være en dedikert person fra virksomheten som må være behandlingsansvarlig for personopplysninger.

Trenger jeg GDPR når jeg ikke har hjemmeside? 

Ja, selv om du ikke har hjemmeside i virksomheten, har du et ansvar så fremt du behandler personopplysninger på klienter, medlemmer, ansatte og andre.
Har du ikke egen hjemmeside må opplysninger om personvernet til klienter og andre som henvender seg til virksomheten framkomme på annen måte.
Om du kun markedsfører deg gjennom ulike oppføringer, som anbudstjenester eller andre, så må du synliggjøre at personvernet ivaretas gjennom personvernerklæring der du annonserer.
Kort sagt; om du ikke har hjemmeside, så kan du ikke fraskrive deg ansvaret du har som virksomhet når det gjelder GDPR.

Trenger jeg GDPR når jeg tar vare på “bare noen få” personopplysninger?

Ja, selv om du bare samler inn få personopplysninger må du uansett ha GDPR i virksomheten.
Man kan gjerne tenke at man som virksomhet oppbevarer lite opplysninger, men gjør du egentlig det?
Behandler man opplysninger på ansatte, klienter og andre, så oppbevares det ofte mye og gjerne sensitiv informasjon.

Hva er et sikkerhetsbrudd?

Et sikkerhetsbrudd kan forekomme dersom:

– Virksomheten ikke har fullstendig oversikt over behandling av personopplysninger.

– Ikke autoriserte personer får tilgang til personopplysninger.

– At en ansatt bevisst, eller ubevisst, videresender informasjon som er av sensitiv art.

– At du eller en ansatt blir frastjålet, mister eller har forlagt en telefon, PC, minnepenn, ansattperm eller en klientperm som inneholder personopplysninger.

– Hackerangrep / dataangrep som gjør at opplysninger kommer på avveie. Hacking og svindel er svært utbredt blant små og mellomstore virksomheter. 

– At det mangler databehandleravtale med regnskapskontoret, programvaretilbydere eller andre virksomheten benytter.

– Å kaste eller kvitte seg med personopplysninger uten at disse makuleres eller slettes.

Dersom et sikkerhetsbrudd oppstår er du som virksomhet pålagt å melde inn dette til Datatilsynet innen 72 timer.

Trenger jeg databehandleravtale?

Du som virksomhet, eller de som benytter virksomheter som behandler personopplysninger på vegne av deg, må opprette en databehandleravtale.
(Dette kan være regnskapskontoret, IT leverandører og andre). Om ikke dine samarbeidspartnere har opprettet databehandleravtale med dere, må dere etterspørre dette. De som direkte behandler opplysninger på vegne av andre er lovpålagt å sørge for at det foreligger en databehandleravtale.

Er E-post kommunikasjon en del av GDPR?

Absolutt.  Epost er omfattet av GDPR. Dette kan være noe kompleks, så her bør virksomheten ha gode rutiner.
Hva gjør dere dersom epost med sensitiv informasjon forsvinner? Om du er usikker på hvordan du skal håndtere personopplysninger i epostkommunikasjon, anbefales det at du tar kontakt med en juridisk person eller personvernrådgiver.
Da vil du få råd og veiledning for å sikre at din virksomhet oppfyller kravene og beskytter personopplysningene på en forsvarlig måte.

Hva er Cookies og informasjonskapsler?

Stort sett alle nettpubliseringsverktøy (hjemmesider) bruker Cookies for å registrere innloggingsdetaljer, antall besøk på siden og hvordan man beveger seg på et nettsted. Svært mange bruker også Cookies fra Google Analytics, som er et verktøy som gir mer detaljert informasjon om brukermønstre på en hjemmeside. Besøkende på nettsiden din skal informeres om det benyttes Cookies. Les mer om Ekomloven her.

En erklæring som framkommer på hjemmesiden, og som omhandler Cookies, er på langt nær tilstrekkelig for å informere klienter som besøker
hjemmesiden din. Du må i tillegg også ha en egen personvernerklæring.

Vi har kameraovervåking i virksomheten, hvordan forholder vi oss til det?

Det kan være et legitimt behov for å ha kameraovervåking, som for eksempel å unngå innbrudd og tyverier for å sikre verdier. Samtidig så er det viktig å tenke på at arbeidstakere har rett til privatliv. Om en virksomhet vurderer å sette opp kamera på arbeidsplassen, er det nødvendig at man setter seg inn i regelverket og sørger for at kravene rundt kameraovervåking og lyd er oppfylt. Kravene SKAL være oppfylt før kameraovervåkingen settes i gang.
Om virksomheten allerede har kameraovervåking, så må man kontrollere om gjeldende krav følges, og at det informeres og  dokumenteres i virksomheten.

Er varsling en del av GDPR – personvernet?
Ja, absolutt. Varsling er lovregulert for virksomheter som har ansatte og innleid arbeidskraft.
Det skal derfor utarbeides egne rutiner for varsling i virksomheten. Ved forhold som er kritikkverdige på arbeidsplassen, som for eksempel brudd på personvernet, skal man varsle. Dette er regulert i lovverket.

Er det mye jobb for virksomheten min å overholde GDPR?

Jobben kan bli vesentlig større om du får tilsyn, sanksjoner og bøter for ikke å ha GDPR på stell. Det viktigste er at du etter beste evne forsøker å følge Datatilsynets føringer på hvordan man skal utøve best mulig GDPR arbeid i virksomheten. Føler du at det er vanskelig å begynne jobben med å få til GDPR , så benytt en ekstern aktør som bistår deg. 

EU-forordningen om kunstig intelligens (Artificial Intelligence Act)

Kunstig intelligens (AI) er noe man forholde seg til i alle typer virksomheter. Nå innføres loven om AI Act også i Norge.
Det er viktig at man setter seg inn i den nye lovgivningen om AI Act.
AI bør være en del av virksomhetens GDPR, og rutiner om bruk av AI bør være på plass på lik linje som virksomhetens personvernpolicy.

Virksomheten må derfor sørge for å ha en plan rundt hvordan dere skal forholde dere til AI Act. Derfor bør det innføres rutiner allerede nå.
En framgangsmåte kan være å starte med å kartlegge hvordan dere har tenkt å benytte AI i bedriften. 

Om så er tilfelle, må dere;
– kartlegge ledelsen og ansattes tekniske kompetanse.
– sørge for at ledelse og ansatte som skal benytte AI må defineres med rolle og navn.
– legge en plan for å innhente grundig kompetanse og forståelse av hva AI er.
– forstå regler, gi opplæring og definere hvordan AI skal brukes i virksomheten.
– definere hvilke verktøy rundt AI som skal benyttes og hvordan de skal brukes.
– sørge for å holde dere oppdatert på verktøy og kompetanse.

Bruk av AI i virksomheten må uansett dokumenteres, og det er ledelsen som har overordnet ansvar for at regler om AI overholdes. 
Det er ulovlig å bruke AI løsninger som bryter europeiske rettigheter og verdier. Dersom regler ikke følges kan virksomheter få sanksjoner og høye bøter.

Virksomheten kan også helt velge bort bruk av AI. Virksomheten selv må avklare:  
Vil bruk av AI være en del av virksomhetens policy framover? Hva skal vi bruke det til, og hvorfor?
Å velge bort bruk av AI, er noe som også må dokumenteres. (Dette avsnittet oppdateres).

Ordliste om GDPR – personvernordningen

GDPR:
GDPR står for General Data Protection Regulation, og er en europeisk forordning som ble innført i Norge fra sommeren 2018.

Behandling:
Behandling er begrepet som benyttes i sammenheng med å behandle personopplysninger.

Personopplysninger:
Er opplysninger om en privatperson som feks en virksomhet innehar.
Dette kan være navn, adresse, telefonnummer, epostadresse, fødselsnummer. Også bilder, en dynamisk ipadresse, fingeravtrykk, irismønster, adferdsmønster, hodeform, lydopptak og kameraovervåking kan også være  personopplysninger.

Samtykkeerklæring:
Et samtykke er for eksempel ansatte i virksomheten signerer en samtykkeerklæring på at personopplysninger kan lagres.
Samtykke i forbindelse med kunder, medlemmer og andre kan være at det gis samtykke til at en virksomhet får godkjennelse til å motta epost, reklame osv.

Personvernerklæring: 
Alle virksomheter skal framvise en personvernerklæring på for eksempel hjemmesiden sin.
Denne personvernerklæringen må tilpasses virksomheten.  

Det må også tilpasses personvernerklæring for virksomhetens ansatte. 

Sensitive opplysninger:
Er for eksempel rase/etnisk bakgrunn, politisk, religion og filosofisk overbevisning og medlemskap.
Også helse og seksuelle forhold går under sensitive opplysninger om en person. 

Personvernforordningen:
Det er personlovgivningen.

Behandlingsansvarlig: 
Er en person som har dedikert ansvar for personopplysninger i virksomheten, organisasjonen, foreningen eller idrettslaget. En slik rolle kan også virksomhetens verneombud ha.

Et annet navn for denne rollen kan være personvernombud. Ombudet kan være eksternt. Man må være oppmerksom på at den som lager GDPR rutinene i virksomheten, kan ikke ta rollen som personvernombud. 

Dataminimering
Er at du ikke skal ta vare på mer data enn du strengt talt trenger, og ikke oppbevare det lenger enn du trenger det.

Databehandler:
Er en aktør som behandler personopplysninger på vegne av deg. Dette kan være markedsføringsbyrå som sender ut reklame/nyhetsbrev på vegne av deg. Databehandler kan også være ansvarlig for programvare / skybaserte tjenester, som for eksempel regnskapskontoret.

Databehandleravtale: 
Er en avtale som inngås mellom behandlingsansvarlig (virksomhet) og en aktør som behandler personopplysninger på vegne av deg.

Rettighetene for privatpersoner:
En privatperson har rettigheter og innsynsrett når det gjelder hva som er samlet inn av opplysninger fra en virksomhet. Dette er opplysninger som kan etterspørres av den enkelte, og virksomheten er normalt pliktig til å gi fra seg disse uten ugrunnet opphold senest en innen en måned, uten omkostninger og i et vanlig filformat. Personer kan også be om at feilopplysninger rettes, eller at opplysningene slettes. Det er personen selv som henvender seg til virksomheten for innsynsretten, retting av opplysninger eller sletting. 

Dataportabilitet
Personer har rett til å få utlevert personopplysningene sine fra en virksomhet, og å lagre disse på en privat enhet til videre og personlig bruk. Dette betyr at personen også kan overføre personopplysninger fra en virksomhet til en annen. 

Personvernrådgiver
Sørger for å gjennomføre minstekravene rundt dokumentasjonsplikten for GDPR. Utarbeider og klargjør alle dokumenter. En personvernrådgiver sørger for å gi råd, og holde ledelsen oppdatert rundt etterlevelsen av regelverket. Personvernrådgiver kan også være den som fungerer som kontaktledd mot Datatilsynet, og andre, ved hendelser og eventuelle sikkerhetsbrudd.