Søk

GDPR: 5 år allerede!

I anledning 5 års dagen til personvernforordningen (GDPR) som ble vedtatt av EU i 2016 og ikrafttrådte i alle medlemslandene 25. mai 2018 - vil vi belyse denne loven som omhandler beskyttelse av våre personlige data!

 

 

GDPR feirer sin femte bursdag!

Den 25. mai 2023 markeres femårsjubileet for implementeringen av GDPR i alle de 27 medlemslandene i EU.

Den generelle personvernforordningen, også kjent som GDPR (EU-forordning 2016/619 fra Europaparlamentet og Rådet datert 27. april 2016), er en tekst som omhandler beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og fri bevegelse av slike data. Denne forordningen erstatter direktivet 95/46/EF som ble vedtatt i 1995, og den blir en referanse for beskyttelse av personopplysninger.

Formålet med forordningen er å styrke og harmonisere databeskyttelsen for enkeltpersoner innenfor EU, øke beskyttelsen av personer som berøres av behandling av personopplysninger, og gjøre aktørene som behandler disse dataene ansvarlige. Disse prinsippene kan implementeres gjennom økt myndighet for tilsynsmyndighetene.

Vedtaket og ikrafttredelse av loven

I januar 2012 foreslo Europakommisjonen en omfattende reform av reglene for personvern i EU. Denne reformen omfattet oppdatering og modernisering av prinsippene som var fastsatt i EUs direktiv fra 1995 om databeskyttelse, gjennom denne generelle personvernforordningen, samt utarbeidelsen av en ny direktiv om beskyttelse av personopplysninger innenfor rammen av politi- og rettslige aktiviteter («Justice-Police Directive»).

Europaparlamentet endret og vedtok forordningen den 12. mars 2014. Det ble deretter forhandlet mellom delegasjonene fra Europakommisjonen, Europaparlamentet og Rådet for Den europeiske union, og forhandlingene ble avsluttet den 15. desember 2015. Utkastet til forordningen ble stemt over i Komiteen for borgerlige rettigheter, justis og indre anliggender (LIBE) den 17. desember 2015. Den europeiske forordningen ble publisert i Den europeiske unions tidende den 4. mai 2016 og trådte i kraft den tyvende dagen etter publiseringen. Bestemmelsene ble direkte anvendbare i alle de 27 EU-medlemslandene fra 25. mai 2018.

I Norge ble innføringen utsatt på grunn av noen hindre i EØS-maskineriet, og her lokalt ble den dermed vedtatt 15. juni 2018 og trådte i kraft 20. juli 2018. Den gjennomfører EUs personvernforordning (GDPR) i Norge og gjorde personvernforordningen til norsk lov.

I tillegg til dette, inneholder personopplysningsloven utfyllende særnorske regler, blant annet regler om behandling av personopplysninger i arbeidslivet og om straffedommer og lovovertredelser.

Personvernforordningen var dels en videreføring, dels en modernisering, og dels en skjerping av personvernregelverket som eksisterte, men det nye sanksjonsnivået medførte økt bevissthet omkring etterlevelse av regelverket.

Hva innebærer GDPR

GDPR innebærer at personopplysninger må behandles med et formål, det skal kun samles inn informasjon som er nødvendig, de skal være oppdaterte, de skal ikke lagres lengre enn nødvendig og de skal sikres med tekniske og organisatoriske tiltak.

Den registrerte har blant annet rett til innsyn i sine personopplysninger, rett til å rette og slette opplysninger, samt protestere på behandlinger.

Slik har virkningene vært og hva anbefaler vi?

Etter at 5 år med personvernforordningen er det faktisk slik at virksomheter har måttet ta et mer aktivt forhold til personvern. De må tilpasse organisasjon, policier og prosedyrer til å kunne ivareta personvernet fra innsamling til opplysningene ikke lengre behandles.

Det er mye å sette seg inn i, spesielt for små og mellomstore selskap, og mange opplever kravene som stilles i standardisere regelverk som både vanskelig å implementere og etterleve, men det behøver det ikke å være. Her har du tre anbefalinger:

  1. Skaff oversikt over alle personopplysninger som behandles i virksomheten og samle disse i en behandlingsprotokoll. Opprett prosesser for å sikre at behandlingsprotokollen oppdateres løpende.
  2. Gjennomfør alltid risikovurderinger når personopplysninger behandles. Vurder både de registrertes rettigheter og friheter, samt tekniske og organisatoriske tiltak for å beskytte personopplysningene. Gjennomfør DPIA der det er nødvendig. Opprett prosesser for gjennomføring.
  3. Sikre god opplæring av alle ansatte i virksomheten, tilpasset deres roller og ansvar. Å ivareta personvernet er et felles ansvar!

Personvern er et komplisert felt, og det er utfordrende for alle virksomheter å ha slik spesialkompetanse på huset. Orange Cyberdefense kan kobles inn for å identifisere hvordan nettop din virksomhet ivareta GDPR, avdekke svakheter og sørge for at dette tas hånd om fra A til Å. Teamet starter som regel med å gjennomføre en modenhetsvurdering, som viser hvor moden virksomheten er innen personvern, på tvers av både mennesker, prosesser og systemer. Derfra utarbeider de et strategisk veikart i samråd med kunden, som vil hjelpe dem i arbeidet med etterlevelse av regelverk og bedre modenheten innen personvern. Opplegget er alltid tilpasset kundens behov. For eksempel tilpasser vi opplæring av ansatte. Både til ulike bransjer og virksomheter, men også til ulike roller og avdelinger internt i en organisasjon.

Uforsvarlig håndtering av personopplysninger kan gi vidtrekkende konsekvenser, både for enkeltpersonene som rammes – og for din virksomhet. I Orange Cyberdefense kan vi hjelpe deg med å ta grep. Ønsker du en prat med oss for å se hvordan din virksomhet best ivaretar GDPR fra et juridisk, organisiatorisk og teknisk perspektiv er du velkommen til å kontakte oss.

Incident Response Hotline

Står du overfor en cyberhendelse akkurat nå?

 

Kontakt vår globale 24/7/365 tjeneste incident response hotline.