GDPR kommer til norge

Hvilke fordeler kan det gi din bedrift?

Du har sannsynligvis hørt om GDPR (General Data Protection Regulation), EU-forordningen om personvern som trer i kraft 25. mai 2018 for alle land i EU, og foreløpig satt dato 1. juli 2018 for alle EØS-land. Den er utformet for å samordne personvernlover over hele Europa, for å beskytte og styrke personvernet til alle EU-borgere, og for å endre tilnærmingen organisasjoner har til personvern og databeskyttelse. Denne guiden tar for seg ulike måter din bedrift kan forberede seg på, med spørsmål og svar avslutningsvis.

Om denne guiden

Denne guiden er utarbeidet for å gi deg informasjon om GDPR, samt hvilke tiltak Visma gjør i den forbindelse. Denne guiden må ikke tolkes som en juridisk veiledning. Vi anbefaler at du søker egen juridisk rådgivning, og følger nøye med på dette temaet.

Hva er den overordnede hensikten med GDPR?

Den overordnede hensikten med GDPR er å beskytte personopplysningene til EU-borgere, på en konsekvent måte i EU-landene. GDPR gir visse rettigheter til enkeltpersoner med tanke på personopplysninger som behandles av bedrifter og organisasjoner, som for eksempel arbeidsgivere og tjenesteleverandører.

Personopplysninger er mer enn du kanskje tror

Artikkel nr 4(1) i GDPR sier: «personopplysninger» er enhver opplysning om en identifisert eller identifiserbar enkeltperson («den registrerte»); en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator som f.eks. navn, identifikasjonsnummer, geografiske opplysninger, e-post eller ett eller flere elementer som er spesifikke for nevnte persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet

Hvem gjelder GDPR for?

Enhver bedrift eller organisasjon som innhenter personopplysninger fra personer som er i EU (inkludert EØS), er underlagt GDPR. En bedrift eller organisasjon trenger ikke å bli etablert i EU for å være underlagt GDPR-reglene. Hvis du befinner deg utenfor EU og behandler personopplysninger fra personer som er i EU, så gjelder GDPR-reglene for deg.

De syv GDPR-prinsippene

I følge de syv GDPR-prinsippene, må behandling av data følge disse retningslinjene:

  1. Lovlig, rettferdig og gjennomsiktig behandling – vektlegge åpenhet og forståelighet for den registrerte.  
  2. Formålsbegrensning – man skal ha et legitimt, uttrykkelig, spesifikt og angitt formål for behandling av personopplysninger.
  3. Dataminimering – forsikre seg om at data er tilstrekkelig, relevant og begrenset, og personopplysninger som ikke er nødvendige for å oppnå formålet skal ikke samles inn.
  4. Nøyaktig og oppdatert databehandling – bruk av datakontrollører for å være sikker på at informasjonen er korrekt, gyldig og passende for formålet.
  5. Lagringsbegrensning – personopplysningene skal slettes eller anonymiseres når de ikke lenger er nødvendige eller relevante.
  6. Konfidensielt og sikkert – den behandlingsansvarlige må sørge for at personopplysningene er beskyttet, både når det gjelder IT-systemer, papirer og fysisk sikkerhet.
  7. Ansvarlighet – virksomheten må kunne dokumentere at den har gjennomført tiltak for å etterleve personvernforordningen.

Fordeler med GDPR

For å kunne dra nytte av GDPR, må bedrifter ha en mer strategisk tilnærming til både personvern og datastyring enn mange har hatt tidligere. Her er fem grunner til at GDPR kan gi europeiske bedrifter en fordel.

  1. Konkurransefordel
    Allerede i dag ser man at spesielt de store kundene ikke vil kjøpe av bedrifter som ikke har orden på personvernrutiner og sikker lagring av data.
  2. ‘Data er den nye oljen’
    Når det gjelder dataanalyse/big data, handler GDPR om å sørge for at dette gjøres på en ryddig og riktig måte. Nøkkelen her er at selskapene faktisk er mer fri til å jobbe med dataanalyse, men med større ansvar
  3. For at man skal få mest mulig ut av dataanalysen trenger man oppdaterte, nøyaktige og relevante data. Når det gjelder personopplysninger, er det viktig at bruken av dette er akseptabel for hver enkelt person.
  4. Innovasjonsfordeler
    Innovative bedrifter kan levere relevant teknologi for databeskyttelse og tilby fleksible løsninger. Å sørge for innovative produkter og tjenester vil ha en positiv innvirkning på kundene.
  5. Bruk GDPR for å etablere tillit
  6. Ved første øyekast blir GDPR bare et regulatorisk press på bedrifter for å “gjøre det rette”. Imidlertid vil de som investerer i dette, og viser høye nivåer av sikkerhet, høste fordelene. Til syvende og sist vil de som tar GDPR på alvor og implementerer det på en strukturert måte, få en fordel som mange store aktører ikke har: tillit. Tillit kan være vanskelig å oppnå, så muligheten til å skape et miljø der kundenes tillit gjenspeiles bør ikke undervurderes.
  7. Opprettholde et positivt omdømme
  8. Bedrifter som tilbyr risikobasert sikkerhet og åpenhet vil få fordeler ved å fortsatt bli sett på som en kompatibel leverandør.

Visma og GDPR

Visma gjør selvsagt det vi kan for å sørge for at alle våre programvaretjenester er i samsvar med GDPR. Derfor har vi utformet et omfattende rammeverk spesifikt for GDPR, bestående av følgende hovedkomponenter:

  • Trening for våre ansatte
  • Implementere personvern og databeskyttelse som en viktig komponent i utvikling og produksjon
  • Et dedikert personvernombud
  • En revidert databehandlingsavtale

Status og mer informasjon

Vi vil oppdatere Trust Centre med flere detaljer og informasjon når vi nærmer oss mai. For øyeblikket jobber vi hardt med å sørge for at våre programvaretjenester oppfyller både dine krav, og kravene til GDPR.

Hvis du trenger mer informasjon i mellomtiden, ikke nøl med å ta kontakt med oss på trust@visma.com

Konklusjon

Bedrifter må aktivt forberede seg for å sørge for at de overholder GDPR. For mange bedrifter vil det være et spørsmål om å identifisere hvilke tiltak som allerede er på plass, og hvilke tiltak som må gjøres.

Å overholde GDPR vil kreve betydelig med tid og innsats, men det er også positive konsekvenser av lovgivningen, som viktigheten av forandring, muligheten for å bygge tillit og inneha lovlige data. Vi lever i en digital økonomi, og den fortløpende utviklingen av denne bør ses på som et viktig skritt i riktig retning.

Spørsmål og svar

Når trer GDPR i kraft? 

Svar: 25. mai 2018.

Burde selskapet mitt gjøre noen tiltak før GDPR trer i kraft?

Svar: Ja. Alle organisasjoner som håndterer personopplysninger fra EØS må gjøre noen nødvendige tiltak. Det første steget er å utføre en grundig analyse av hvordan GDPR kan påvirke driften av selskapet ditt. Siden GDPR ikke inneholder noen overgangsordninger, vil det få virkning fra dag en, slik at alle organisasjoner må være klare innen 25. mai 2018.

Kan Visma hjelpe meg med mine GDPR-forberedelser? 

Svar: Nei, dette er dessverre ikke en tjeneste vi kan tilby. Imidlertid finnes det et helt økosystem av selskaper som spesialiserer seg på å hjelpe bedrifter med forberedelser til GDPR. Dette er for eksempel advokatfirmaer, bransjeorganisasjoner og selskaper som driver med datasikkerhet. Et raskt søk på nettet hjelper deg med å finne mange flere.

Nøkkelen til GDPR er å innhente samtykke fra den registrerte. Hvem er ansvarlig for det?

Svar: Den behandlingsansvarlige er ansvarlig for å innhente samtykke, og artikkel 13 i GDPR er kjernen til dette.

Vårt selskap innhenter ikke personopplysninger fra EU. Gjelder GDPR oss?

Svar: Nei.

Skal data innhentet fra registrerte personer i EU eller EØS lagres på servere i EU eller EØS?

Svar: Nei. Det er ingen krav om lokalisering i GDPR. GDPR-kravene viser til de partene som behandler personlige data utenfor EU, og at deres operasjonelle, tekniske og sikkerhetsmessige tiltak skal være fullgode og korrekte. Ved overføring av personopplysninger ut av EU derimot, bør man forholde seg til blant annet EU’s standardkontrakter.

Er noen land utenfor EU allerede godkjent av EU som “sikre land” for behandling av personopplysninger fra EU?

Svar: Ja. USA antas å gi tilstrekkelig beskyttelse dersom mottakeren er registrert under “The US Department of Commerce’s US-EU Privacy Shield”.

Du er kanskje også interessert i 

Følg oss på FacebookFølg oss på InstagramFølg oss på YouTubeFølg oss på Twitter