Del 3: Hvilke personopplysninger kan man lagre

Personalopplysninger og kundeopplysninger  er det kun lov å lagre hvis de er relevante. Alle dine kunder og ansatte har alltid lov å se hva du har lagret ( med noen få unntak). Har du personopplysninger i bedriften som du ikke har sikret ? Er det tilstrekkelig med passord på PC eller bør flere av dokumentene til bedriften også sikres med passord. Både PDF dokumenter og word/excel kan enkelt sikres med passord for les eller redinger

Gjennom GDPR lovverket kommer det frem at personopplysninger må behandles trygt. Det finnnes derfor krav om lagring.

Noen av disse kravene kommer frem gjennom databehandleravtalen, men i noen tilfeller så er du din egen databehandler. Formelt er du da bare en behandlingsansvarlig men reglene her er like strenge som for databehandlere

Hva betyr dette for deg i forhold til å lagre personopplysninger:

Jo - du må selv sørge for å fylle kravene som en hvilken som helst annen databehandler må fylle.

Datatilsynet anbefaler følgende:

Den behandlingsansvarlige skal ta hensyn til databehandleroppdragets karakter og omfang, samt hvilken risiko behandlingen kan få for de registrerte det gjelder.

Den behandlingsansvarlige kan bare benytte databehandlere og underleverandører som kan dokumentere tilstrekkelige garantier for:

  • at kravene i personopplysningloven blir ivaretatt
  • at personopplysningene som behandles er tilstrekkelig sikret (personvernforordningen artikkel 28 nr. 1).

Dette betyr blant annet at databehandleren må kunne vise at man har gode nok tekniske og organisatoriske tiltak som sikrer at loven følges i praksis.

I vurderingen av om databehandleren kan vise frem tilstrekkelige garantier, skal man særlig se på databehandlerens dybdekunnskap, pålitelighet og ressurser. Dersom databehandleren er underlagt godkjente bransje-/adferdsnormer eller en godkjent sertifiseringsmekanisme, er dette et moment i vurderingen av om det foreligger tilstrekkelige garantier.

Til syvende og sist er det opp til den behandlingsansvarlige å vurdere om databehandleren gir tilfredsstillende garantier sett i sammenheng med personopplysningene som skal behandles.

Ditt firma ønsker å lagre personopplysninger i sine systemer.

Hva betyr det da 

  • at kravene i personopplysningloven blir ivaretatt
  • at personopplysningene som behandles er tilstrekkelig sikret (personvernforordningen artikkel 28 nr. 1).

Vi ønsker å gjøre GDPR prosessen til noe du konkret kan forholde deg til, men samtidig er det viktig at man følger de regler og retningslinjer som er satt. Det finnes derfor ikke en quick-fix eller en enkel oppskrift for hvordan man kan gjøre all lagring.

Vi anbefaler at du gjennomfører følgende punkt:


1 ) Aller først må du gå igjennom en risikoanalyse av din egen lagring av opplysninger
( Dette tok vi opp i del 2 - og det er viktig at resultatene og selve gjennomgangen kan dokumenteres i ditt internkontrollsystem

2) Endre på handlingsplanen slik at tiltak som er foreslått i risikoanalysen får en dato for gjennomføring samt en ansvarlig person .

( TIPS: reglene sier at det skal være tilstrekkelig sikret. Det er du som tilslutt bestemmer hva dette betyr og det kan være lurt at du i handlingsplanen setter et mål om høy sikkerhet noen år frem i tid, mens du gjennomfører enklere regler og rutiner allerede nå i år)

3) Gjennomfør tiltak slik du har satt opp i handlingsplanen. Husk at du skal dokumentere dette i ditt GDPR system og i loggen du bruker til dette. Alle våre GDPR abbonenter har et eget slikt system hvor de kan dokumentere utbedringer og vise dette frem hvis datatilsynet skulle ha tilsyn.

4) Gjennomfør et møte med alle ansatte slik at de kjenner til nye rutiner og tiltak som dere har bestemt iforhold til behandling av personopplysninger. ( Husk også at logg fra dette møtet skal inn i GDPR loggen)

Siden ulike bedrifter har ulike utfordringer så vil rådene under kun være generelle og det er viktig at de må vurdres utifra punktene over før de eventuelt igangsettes sammen med andre eventuelt strengere krav. Husk at det å være GDPR compilant ikke betyr at du har alt av kravene i orden men en gang - men kravet er at du nå begynner å planlegge for å få alt i orden i løpet av de nærmeste årene.


Følgende tiltak anbefaler vi at du gjennomfører for å sikre peronopplysninger du har:

A: Sorter ut hvilke ulike type dokumenter du har i bedriften. ( Slett eller makuler de som ikke er relevante idag)

B: Lag strenge regler for sensitive dokumenter - derifblandt dokumenter om personalet og bedriftshemligheter,  og mindre strenge regler for dokmenter med personopplysninger, men som ikke innebærer en risiko at noen får tak i. Eksempel på en slikt dokument kan være en pakkseddel. En pakkseddel kan inneholde både navn, adresse og telefonnr, men er ikke hverken sensitiv eller inneholder personopplysninger som kan være alvolig hvis den kommer på avveie.

Det er viktig at det er mange personopplysninger som i bunn og grunn er kombinasjoner av offentlige opplysninger, men det er når du kobler dem sammen i grupper som personopplysninger kan inneholde informasjon som kanskje ikke er sensitiv, men som ingen ønsker at noen skal vite om. Det er f.eks. ikke en sensitiv informasjon at bedrifter som kondomeriet har kunder, men det er ikke sikkert at de som er kunder ønsker at alle skal vite at de er kunde.

C: Noen bedrifter har kundeopplysninger som er sensitive og selv en snekker kan sitte på mange opplysninger om sine kunder som ingen andre bør lese. Husk at slike personopplysninger SKAL sikres.

Følgende regler bør være et minimum for sensitive personopplysninger, opplysninger om ansatte og andre bedriftshemligheter ( - og kanskje kundeopplysninger)


1) Passord og innstilling for åpning, samt ikke synlighet på alle dokumenter som er sensitive eller inneholder opplysninger om dine ansatte

2) Ingen av disse dokumentene bør være mulig å finne eller søke på uten at man først har skrevet inn et brukernavn og passord som er personlig for behandlingsansvarlig ( sjefen)

3) Det må finnes en kopi av dataene  - hvor kopien er sikret mot brann og (data/fysisk) innbrudd. Rutinene for kopiering og sikring må være endel av risikoanalysen og stå beskrevet som rutine i handlingsplanen/internkontrollsystemet

4) Ingen av opplysningene bør være mulig å hente opp gjennom nettverket uten at man må oppgi både brukernavn og passord som databehandlingsansvarlig. ( Reglene knyttet til dette punktet antar vi kommer til å bli strengere når bransjestandarden kommer om ikke lenge)

5) Data skal i noen sammenhenger krypteres. Det er idag mange ulike systemer for dette og datatilsynet sider anbefales. Det er viktig at det skal være mulig for de personene som blir omtalt i dokumentet å få innsyn så sant det ikke er andre regler som hindrer slikt innsyn. Enkel kryptering kan dreie seg om å pakke sammen filer i zip fil med passord før det senes på mail.

6) Kundeopplysninger skal også sikre etter personvernregelverket, men svært mange bedrfiter har disse opplysningene i egne systemer hvor sikkerheten allerede blir håndtert. Husk at du må sørge for databehandler avtale med alle firmaer du samarbeider med i forhold til håndtering av slike opplysninger.

7) Husk at den svakeste delen i et system er det som vil bli angrepet hvis noen ønsker å få tak i opplysninger. Papirer kan ikke ligge løst, men de skal også låses inn hvis det er sensitive opplysninger på de. Åpne trådløse nett er enkelt å bruke i bedriften, men de kan skape sikkerhetsutfordringer. Skriver og andre trådløse systemer kan skape utfordringer hvis noen får tilgang på disse utenfra.

Husk at all risikovurdering må være en avveing mellom sannysnlighet og konsekvens. Det må selvsagt også være grenser for hvor mye ressurser man kan sette inn til enhvert tid for å sikre systemer. Det kan derfor være lurt å prioritere i handlingsplanen hva bedriften ser på som det som haster mest av tiltak akkurat NÅ.

 

Del denne siden med andre!

Share on FacebookShare on Twitter

© 2018 GDPR og Personvern for abonnenter

Personvernerklæring