GDPR krever omstilling fra både ledelse og ansatte som håndterer personopplysninger, sier seniorrådgiver i Datatilsynet, Henok Tesfazghi. EU har ikke gjort større personverngrep av denne størrelsen siden de vedtok personverndirektivet i 1995.

Siden da har mye skjedd, både innen teknologisk utvikling og globalisering. Det er behov for ett oppdatert, globalt og helhetlig regelverk, mener Tesfazghi.

Ledere må lese seg opp

25. mai er datoen når det nye EU-regelverket innføres. Da vil det i større grad bli viktig å ha på plass en databehandleravtale mellom leverandør og kunde. Undersøkelser viser at det er et varierende kunnskapsnivå om GDPR.

Flere ledere må og lese seg opp; omkring 40 prosent av de spurte svarer at de tror de er forberedte, men hele 60 prosent svarer at de bare er delvis «GDPR-klare».

Datatilsynet kan i verste fall ilegge et overtredelsesgebyr på inntil 20 millioner euro eller fire prosent av den totale omsetningen (det alternativet som blir dyrest). Gebyret har nok bidratt til den økte interessen for GDPR, forteller Tesfazghi.

Han og de andre kollegaene i Datatilsynet opplever stor etterspørsel etter foredrag og informasjon om de nye personvernreglene. Tesfazghi henviser til Datatilsynets hjemmesider, veileder og deres personvernblogg for oppdatert informasjon om GDPR.

Råd på veien

Datatilsynet oppfordrer alle til å få oversikt over hvilke personopplysninger de sitter på, og være oppmerksomme på at det fra juni vil være viktig å svare på innsynsbegjæringer uten ugrunnet opphold, og innen 30 dager.

Seniorrådgiveren gir avslutningsvis følgende råd til ansatte innen økonomi og innkjøp:
For de som allerede er best i klassen på personvern er det ingen grunn til bekymring, de vil i praksis oppleve få endringer, avslutter Tesfazghi.

Datatilsynet har presentert 10 tips for etterlevelse av det nye regelverket:

  1. Sett dere inn i regelverket og få oversikt over hvilke personopplysninger dere behandler
  2. Gjennomgå alle personvernerklæringer
  3. Sørg for at dere kan oppfylle de nye rettighetene (dataportabilitet, retten til å si nei til profilering etc.)
  4. Planlegg hvordan dere skal håndtere innsynsbegjæringer, sletting av data etc.
  5. Gjennomgå behandlingsgrunnlagene dere benytter. Tilfredsstiller de GDPR?
  6. Gjennomgå hvordan dere innhenter samtykke.
  7. Det er et nytt krav om at virksomheten skal kunne dokumentere at samtykke er inngått samt informasjon er gitt. 
  8. Rutiner for avvikshåndtering.
  9. Det blir krav om å rapportere alle avvik til Datatilsynet innen 72 timer, med mindre det er usannsynlig at bruddet på personopplysningssikkerheten vil medføre en risiko for fysiske personers rettigheter og friheter.
  10. Implementer personvern i hjertet av alle nye prosjekt (innebygd personvern + DPIA)
  11. Vurder om dere skal ha et personvernombud
  12. Interesseorganisasjoner oppfordres til å lage bransjenormer på vegne av medlemmene, der man ser at dette er formålstjenlig.

Les mer om GDPR her:
https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/
https://www.datatilsynet.no
https://www.datatilsynet.no/regelverk-og-skjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/
https://www.personvernbloggen.no