Hvorfor skal vi jobbe med personvern?
I dagens digitale verden er personvern mer viktig enn noensinne. Med stadig økende mengder data som blir samlet inn og brukt av bedrifter, er det avgjørende å beskytte personopplysningene til kunder, ansatte og andre interessenter. Det første mange tenker på når de hører personvern eller GDPR er bøter. Store bøter. Ja, manglende personvern eller andre brudd på personvernforordningen kan føre til store økonomiske konsekvenser, men dette alene burde ikke være grunnen til at man jobber seriøst med personvern.
God personvernpraksis kan gi økt tillit og troverdighet hos kundene. Det er ofte saker i nyhetsbildet som handler om brudd på personvernforordningen. Dette har resultert i at flere og flere har blitt, og blir, bevisste på sitt personvern. Når din virksomhet viser at dere tar kundenes personvern på alvor, viser du at du bryr deg om deres rettigheter og velvære. Dette kan føre til mer lojale kunder og økt salg, da folk er mer tilbøyelige til å handle med bedrifter de stoler på.
Her går vi igjennom de viktigste punktene for deres arbeid med personvern:
- Hvor starter du i arbeidet med personvern?
- Hvordan får du oversikt over virksomhetens personvern?
- Hva er en personopplysning?
- Hva er en behandling av personopplysninger?
- Hva er en personvernerklæring?
- Hva skal en personvernerklæring inneholde?
- Hvordan skrive en personvernerklæring?
- Hvordan kan din virksomhet få hjelp med personvern?
Hvor starter du i arbeidet med personvern?
Noe av det viktigste og mest essensielle du skal ha på plass for et godt arbeid med personvern er en protokoll over behandlingsaktiviteter. En behandlingsprotokoll skal holde oversikt over forskjellige prosesser, eller aktiviteter, i virksomheten der man behandler personopplysninger. Denne skal oppdateres og revideres jevnlig, slik at den gjenspeiler det man faktisk foretar seg i virksomheten. Artikkel 30 i personvernforordningen (GDPR) oppstiller en rekke minimumskrav over hva behandlingsprotokollen skal inneholde. En skal blant annet føre oversikt over hvem man behandler personopplysninger om, hvilke personopplysninger man behandler, og hvilket formål man har med behandlingen.
Dette er en relativt stor oppgave, men det er nødvendig for å etterleve personvernforordningen. En god behandlingsprotokoll vil gjøre det enklere å oppfylle forespørsler fra de dere behandler personopplysninger om, samt gi dere en systematisk oversikt over hvordan dere behandler personopplysninger. For et godt arbeid med personvern - sørg for en god behandlingsprotokoll.
Vil du gjøre det enklere å sette opp og revidere din behandlingsprotokoll? Her kan du lese om vårt verktøy for behandlingsprotokoll, og booke en demo i dag!
Hvordan får du oversikt over virksomhetens personvern?
Etterlevelse av personvernforordningen kan virke litt som en labyrint, man vet hvor målet er, men man sliter med å finne veien dit. Da kan det være lurt å gjennomføre en internkontroll på deres personvern! En ærlig gjennomført internkontroll vil gi virksomheten deres de svarene dere trenger for å jobbe mot GDPR-compliance. Man vil få identifisert manglende dokumentasjon, utdaterte retningslinjer mm. som vil gi deg et slags kart du kan bruke for å manøvrere deg gjennom denne labyrinten.
Hvis dere trenger hjelp til å gjennomføre en internkontroll, enten på personvern eller informasjonssikkerheten, så bistår vi gjerne med dette. Dersom du ønsker et verktøy som kan bistå dere i denne prosessen kan du lese mer om dette her.
Hva er en personopplysning?
For å kunne ta vare på brukere, kunder, ansatte mm. sitt personvern, er det viktig å vite hva en personopplysning faktisk er. En personopplysning er nemlig mye mer enn du tror, sannsynligvis. I følge GDPR (personvernforordningen) er en personopplysning: “enhver opplysning” “om” en “identifisert eller identifiserbar” “fysisk person”. Regelverket kaster altså et rimelig bredt nett.
Dersom en opplysning gjør det mulig å identifisere en person, direkte eller indirekte, så er det en personopplysning, kort fortalt. GDPR gjelder ikke bare for informasjon som blir samlet inn elektronisk, men også personopplysninger på papir eller bortgjemt i gamle arkivskuffer.
Hva er en behandling av personopplysninger?
En behandling er definert i GDPR (personvernforordningen) som enhver operasjon som gjøres med personopplysninger. Dette omfatter blant annet lagring, innsamling, organisering, bruk osv. av personopplysninger. Begrepet behandling i denne konteksten er med andre ord svært bredt. Behandling er teknologisk nøytralt, det betyr at det ikke har noe å si om man skriver ned møtereferat med navn i en notisblokk eller i et Word-dokument. Begge deler regnes som en behandling av personopplysninger i GDPR.
Kort fortalt så er alt du gjør med personopplysninger en behandling som må registreres i en behandlingsprotokoll i tråd med artikkel 30 i GDPR. For å ha et godt personvern og for å etterleve GDPR er det altså svært viktig at man har kontroll på når man behandler personopplysninger.
Hva er en personvernerklæring?
I en verden der data samles og behandles i en hastighet vi aldri har sett før, er det avgjørende med transparens og trygghet rundt vår personlige informasjon. Her kommer begrepet "personvern" inn, og mer spesifikt, "personvernerklæring".
En personvernerklæring er et dokument eller en del av et nettsted som forklarer hvordan en organisasjon samler inn, bruker, deler og beskytter personopplysninger som de får fra personer. I Norge, som i resten av EU, er det strenge regler for håndtering av personopplysninger under GDPR (Personvernforordningen), og en personvernerklæring er et sentralt element i å oppfylle disse kravene.
Hva skal en personvernerklæring inneholde?
En personvernerklæring skal være tydelig, lett å forstå, og lett tilgjengelig. Den skal blant annet inneholde:
- Identitet: Kontaktinformasjon til virksomheten og eventuelt virksomhetens personvernombud
- Hvilke personopplysninger som samles inn: En liste over de spesifikke typene data som samles inn, for eksempel navn, e-postadresse, geolokalisering, IP-adresse, osv.
- Hvordan personopplysningene samles inn: Forklaring på hvordan dataene blir samlet inn, for eksempel gjennom skjemaer, cookies, osv.
- Formålet med innsamlingen: Hvorfor organisasjonen samler inn dataene, for eksempel for å levere en tjeneste, forbedre brukeropplevelsen, osv.
- Hvem personopplysningene deles med: Eventuelle tredjeparter som har tilgang til dataene, som underleverandører eller partnere.
- Hvordan personopplysningene beskyttes: Sikkerhetstiltak organisasjonen har på plass for å beskytte dataene.
- Rettigheter: Informasjon om individets rettigheter i forhold til sine personopplysninger, inkludert retten til innsyn, retting, sletting, begrensning i behandling, dataportabilitet, og retten til å klage til en tilsynsmyndighet.
Hvordan skrive en personvernerklæring?
Å skrive en personvernerklæring krever en forståelse for både juridiske og tekniske aspekter av personvern. Det er viktig å ta hensyn til følgende:
Når du skal skrive en personvernerklæring, er det viktig å huske på at den skal være lett å forstå. Unngå juridisk sjargong og bruk klart og enkelt språk. Det skal være enkelt for folk å finne og forstå personvernerklæringen din.
I tillegg er det viktig at personvernerklæringen er lett tilgjengelig. Den skal være synlig på nettsiden din, og det bør være en kobling til den på alle sider hvor du samler inn personopplysninger.
Sist, men ikke minst, bør du regelmessig oppdatere personvernerklæringen din. Dette er spesielt viktig hvis du endrer hvordan du bruker personopplysninger.
Personvern er et komplekst område, og det kan være utfordrende å navigere i regelverket. Ved å bruke en personvernerklæring på en effektiv måte, kan du imidlertid demonstrere forpliktelsen din til å beskytte kundenes personopplysninger og bygge tillit med kundene og brukerne dine.
Hvordan kan din virksomhet få hjelp med personvern?
Vi i Visma Draftit tilbyr mange gode løsninger for å gjøre personvern enklere for din virksomhet. Vi tilbyr verktøy, e-læring og konsulenttimer - eller alt samlet i en rimeligere pakke: Personvern as a Service.
Med PaaS får du konsulentbistand fra våre jurister og personvernspesialister som legger en plan for hvordan dere skal lykkes i arbeidet med personvern. Vi tar en hands-on rolle i din reise mot etterlevelse av kravene i Personvernforordningen, og veileder dere til å være compliant på egenhånd i fremtiden! Vi har mange superfornøyde Personvern as a Service-kunder, blant annet Klepp kommune:
"Visma Draftit sine verktøy for personvern, kombinert med prosjektledelsen fra deres personvernspesialister, gjorde at vi endelig fikk kontroll i jungelen av registreringer i ulike excel ark. Nå har vi fått samlet alt på ett sted. Systemene og veiledningen gjorde at vi fikk oversikt og kontroll, samt at vi fikk på plass gode arbeidsrutiner når det gjelder personopplysningene som Klepp kommune behandler."
Irja Marie Stenby, Personvernombud, Klepp Kommune.
Les mer om hvordan Klepp kommune fikk hjelp med Privacy as a Service på bloggen vår.
Sammen med våre personvernspesialister har de fått stålkontroll på personvern, og har verktøyene og kunnskapen til å etterleve personvernforordningen enklere og mer effektivt enn tidligere. Hvis du vil høre mer om Personvern as a Service kan du trykke her!