Hvordan Sikre At Bedriften Din Er GDPR Compliant

Anders Bryde Thornild
By: Anders Bryde Thornild GDPR | 11 januar

 


Hva er GDPR? 

I mai 2018 trådte EUs personvernforordning (GDPR) i kraft. Det er et juridisk rammeverk som vedtar retningslinjer for hvordan man samler inn og behandler persondata. Målet er å beskytte forbrukernes rettigheter ved å sørge for at nettsider, offentlige institusjoner og selskaper følger et bestemt regelverk når de behandler informasjon om privatpersoner.

Det finnes ingen snarvei for å bli i samsvar med GDPR–reglene. Nesten alle organisasjoner håndterer en eller annen form for personopplysninger, og mange ansatte må håndtere personopplysninger daglig. Derfor er det viktig å ha klare retningslinjer, og å sørge for at alle vet hva de må gjøre. Her er en sjekkliste å forsikre deg om at bedriften din er på riktig spor. Hvis du ikke følger GDPR, kan det resultere i store bøter – maksimumsboten er 20 millioner Euro eller 4% av selskapets årlige globale inntekt. 

Innholdsfortegnelse

 

Bedriften din må kjenne GDPR-reglene 

Det første trinnet for å bli i samsvar med GDPR er å sørge for at det er noen i bedriften din som forstår hva GDPR handler om. GDPR bygger på syv prinsipper som kan brukes som grunnlag for å forstå hvorfor og hvordan personopplysninger skal håndteres. Prinsippene brukes for å markere hovedideen bak GDPR, og for å illustrere noen av metodene som kan hjelpe deg i dine daglige oppgaver, for eksempel dataminimering.

Det understreker viktigheten ved å ha et rettslig grunnlag for å håndtere personopplysninger, som betyr at du må ha en legitim grunn til å behandle personopplysninger. Dette kan gjøres ved samtykke, noe som du ofte ser på nettsider. 

Bruk disse prinsippene og implementer dem i ditt selskap. 


7 GDPR Principles - Infographic

Sørg for at du vet hvem som er ansvarlig – det kan være et personvernombud (DPO) 

Det kan være utfordrende å nå målsettingene og å gjennomføre de syv prinsippene hvis det ikke er en person eller gruppe som er ansvarlig for å gjøre organisasjonen GDPR compliant.

Selv om kollegaene dine håndterer personopplysninger daglig, er det fortsatt viktig å ha en som er ansvarlig for å informere alle om hva de skal gjøre. De ansatte kan også henvende seg til denne personen når de er i tvil. Ansvaret kan fordeles innad i en gruppe. I små selskaper kan det være en av lederne som er ansvarlig, eller det kan være et personvernombud (DPO) som har som eneste oppgave å sørge for at bedriften din er i samsvar med GDPR.

Det er ikke én løsning som passer for alle. Det avhenger av organisasjonsstrukturen i bedriften din. Det kan være litt overdrevent å ha en person som kun er DPO i et lite oppstartselskap. På en annen side kan det være uklart hvem som bør gjøre hva hvis ansvaret deles mellom for mange. Det er også mulig å outsource funksjonen til et eksternt selskap. Det viktigste er at alle er enige om hvem som har ansvaret for GDPR, og at de ansatte vet hvem de skal henvende seg til når de har spørsmål. 

CTA_e-book_blog-desktop

 

Alle ansatte må vite hvordan de skal håndtere personopplysninger 

Ettersom alle dine ansatte på en eller annen måte håndterer personopplysninger er det ikke nok å vite hvem som er ansvarlig for GDPR i bedriften din. Det er viktig at alle ansatte har en grunnleggende forståelse av hvordan personopplysninger skal behandles. 

Det betyr ikke at alle trenger å være en ekspert, men det viktigste er at de ansatte har en god forståelse av hva personopplysninger er og hvordan de håndteres på en sikker måte. Nedenfor er noen eksempler på ting de ansatte bør vite: 

  • Hvapersonopplysningerer 
  • Hvakananses som sensitive personopplysninger 
  • Har duet rettslig grunnlag for å behandle personopplysninger 
  • Hvordan forskjellige typerpersonopplysninger skal håndteres
  • Hva du skal gjøre hvis du oppdager etdatabrudd 
  • Hvemdu kan spørre om hjelpnår du er i tvil 

Det er mange måter å øke bevisstheten og å utdanne de ansatte når det kommer til behandling av personopplysninger. Seminarer, kurs og bevissthetstrening er alle gode måter for å sikre at alle har en god forståelse for sikker behandling av personopplysninger. En av de vanligste årsakene til databrudd er feil som blir begått av de ansatte. Derfor må opplæring angående behandling av personopplysninger prioriteres i bedriften din.

De 8 grunnleggende rettighetene til GDPR for registrerte (brukere)

GDPR sørger for at de registrertes rettigheter blir respektert. Her er en kort beskrivelse av de 8 rettighetene som alle personer har.

1. Rett til tilgang 

Dette betyr at hver enkelt har rett til å be om tilgang til sine personlige data. De har også rett til å vite hvordan organisasjonen bruker dem. 

2. Rett til å bli slettet 

Dette betyr at hver enkelt kan kreve at personopplysningene deres slettes hvis de ikke lenger samtykker, eller hvis de ikke lenger er kunder. 

3. Rett til dataoverføring 

Hver enkelt har rett til å skaffe og gjenbruke personlig data til eget formål over ulike tjenester. 

4. Retten til å bli informert   

Hver enkelt må informeres om at deres data blir samlet inn, og få muligheten til å akseptere det eller ikke. 

5. Rett til korrigering 

Alle personer har rett til å få sine data oppdatert eller korrigert hvis de er feil, ufullstendige eller utdaterte. 

6. Rett til å begrense behandlingen 

Alle personer har rett til en begrenset behandling av sine data. Dette betyr at de kan velge å la selskaper bruke data til noen, men ikke alle formål.  

7. Rett til å motsi behandling 

Alle personer har rett til å protestere og å kreve at selskaper og offentlige myndigheter slutter å bruke dataene deres uten eksplisitt samtykke, f.eks. for direkte markedsføring. 

8. Retten til å bli varslet 

Et datasikkerhetsbrudd vil sannsynligvis medføre en høy risiko, da har de registrerte (brukerne) rett til å bli varslet umiddelbart. 

 

Lag klare retningslinjer for å sikre at GDPR-reglene følges 

Det er utrolig viktig å delegere ansvar og å lære opp teamet ditt om databehandling, og det må gjøres så raskt som mulig. Ved å lage klare retningslinjer for teamet ditt rundt databehandling, vil dere ha noe som er lett tilgjengelig for alle når det oppstår situasjoner der teammedlemmer er usikre. Klare retningslinjer sikrer også at prosesser rundt datasikkerhet blir strømlinjeformet i hele organisasjonen. En effekt av klare retningslinjer er at cybersikkerheten blir forsterket og at man reduserer risikoen for sikkerhets- og databrudd. 

Under er noen dokumenter og retningslinjer du kan lage for bedriften din. 

Retningslinjer for IT-sikkerhet – sørg for at det generelle rammeverket er i orden 

Sørg for at bedriften din har et generelt rammeverk for hvordan du jobber med cybersikkerhet før du setter opp retningslinjer for IT-sikkerhet. IT-sikkerhetspolicy blir også ofte omtalt som sikkerhetsmål og sikkerhetsstrategi, mens retningslinjene beskriver mer detaljert hvordan disse målene skal bli nådd og gjennomført. Det blir angitt hvem som er ansvarlig for å nå disse målene, og hvem som er ansvarlig for det overordnede cybersikkerhetsarbeidet. Policyen er formulert på et strategisk nivå, og setter tonen for cybersikkerhetsarbeidet i organisasjonen din. Det bidrar også til å forhindre databrudd. Du kan sjekke vår gratis mal og guide for å se hvordan du setter opp IT-sikkerhetspolicy

Retningslinjer for bruk av IT – lag konkrete og praktiske regler og retningslinjer 

Som tidligere nevnt er IT-sikkerhetspolicy et strategisk rammeverk for cybersikkerhet og beskyttelse av personopplysninger. Retningslinjene for bruk av IT er mer praktisk og handlingsrettet, derav navnet. Det er dette dokumentet du kan bruke for å utføre målene i policyen praksis ved hjelp av retningslinjer og regler som de ansatte kan følge. Det er viktig å sørge for at listen med regler ikke blir for lange og vanskelige. Det kan føre til at de ansatte mister motivasjonen, som jobber imot hensikten med retningslinjene. Retningslinjene for bruk av IT bør være enkle å forstå og følge, og må stemme overens med det endelige målet, nemlig å styrke cybersikkerheten i organisasjonen din. Vi har en gratis mal og veiledning for hvordan du utarbeider retningslinjer for bruk av IT

Hva er personopplysninger?

Personopplysninger er informasjon som kan brukes til å identifisere en person. Det inneholder informasjon som navn, adresse, nummerskilt, en jobbsøknad eller et bilde av en tatovering. Hvis personopplysninger er kategorisert som følsomme, kreves et høyere GDPR-sikkerhetsnivå. 

Generelle personoplysninger

   - Navn

   - Mobiltelefonnummer

   - Fødselsdato

   - Yrke

   - Adresse

Følsomme personopplysninger 

   - Rase eller etnisk opprinnelse 

   - Politisk eller religiøs overbevisning 

   - Fagforeningsmedlemskap  

   - Genetiske data / biometriske data (f.eks. fingeravtrykk) 

   - Helseinformasjon 

   - Seksuelle forhold eller orientering 

Gjør en risikoanalyse for å finne ut hva som er neste steg 

Hva er neste steg? 

Det er litt vagt, men det riktige svaret er: Det kommer an på. 

Alle selskap har forskjellige behov, og det er derfor vanskelig å si hva som burde være fokusområdet for din bedrift når det gjelder cybersikkerhet og GDPR compliance. Det neste steget er avhengige av flere faktorer, blant annet hva slags data dere behandler, systemer dere bruker og hvilke konsekvenser dere vil få ved eventuelle sikkerhetsbrudd. 

For å kunne ta en kvalifisert avgjørelse om de neste stegene kan det være en god idé å gjennomføre en risikoanalyse for å få en bedre forståelse for hva organisasjonen trenger når det gjelder sikkerhet og beskyttelse. En risikoanalyse gir en oversikt over hvilke trusler organisasjonen din kan være utsatt for. Den anslår også sannsynligheten for trusler og hvilke konsekvenser truslene kan ha for organisasjonen din.

Naturligvis bør trusler som har en større sjanse for å oppstå, og som potensielt kan være mer skadelige, behandles først. Trusler kan være alt fra at dine ansatte klikker på phishing-lenker til å sende sensitiv persondata til noen som ikke burde motta dem. Du kan bruke vår gratis risikoanalyse-mal for å kartlegge alle selskapets trusler. 

Vær oppmerksom på at risikoanalyseprosessen ikke utføres på samme måte under ISO-standardene som under GDPR. 

Lag en GDPR-arbeidsprosess med: Plan-Do-Check-Act Syklusen (PDCA cycle) 

Som du kanskje allerede vet så er ikke GDPR en rask engangsløsning, men en iterativ prosess. Du blir aldri helt ferdig, og det vil fortsette å dukke opp nye utfordringer hele tiden. Du kan ikke forvente at de ansatte vil gjøre alt perfekt etter planen blir presentert, og at det ikke oppstår noen problemer. Det er viktig at du har en god prosess på plass for å gi bedriften anledning til å vurdere, evaluere og justere systemene og retningslinjene etter behov. Dette vil også bidra til å gjøre behandling av personopplysninger lettere og sikrere over tid. 

En måte å gjøre dette på er å bruke Plan-Do-Check-Act-syklusen som er en iterativ prosess som sørger for at: 

  1. Du setter opp målsettinger og en plan for hvordan du skal nå dem 
  2. Du følger planen og gjør det den forventer
  3. Du evaluerer arbeidet for å se om du nådde målene dine
  4. Du vurderer hva som fungerte og ikke fungerte basert på resultatet av evalueringen for å sikre at du fortsetter å forbedre deg 

Du kan bli sertifisert dersom du er i samsvar med GDPR-reglene 

Hvis du er en databehandler og skal behandle personopplysninger er det viktig å huske på at du opptrer på vegne av den behandlingsansvarlige. Dette betyr at du må formelt dokumentere at du behandler personopplysninger i samsvar med GDPR. Det medfører ofte at du må håndtere mange spørsmål frem og tilbake, noe som kan vise seg å være tidkrevende. 

Hvis dette er en ulempe for din bedrift, kan det være verdt å bli sertifisert eller å innføre en revisjonskontroll (security audit). Begge alternativer viser at god praksis er viktig for deg når det gjelder informasjonssikkerhet og behandling av personopplysninger. Kanskje ikke alle er like interessert i det. Det kan være relativt dyrt å bli sertifisert eller å innføre revisjonskontroll, og det krever mye arbeid. Du bør derfor vurdere hva som beste for deg, samtidig som du følger GDPR-reglene. 

Du kan velge mellom mange sertifiseringer og rapporter  

Det er mange sertifiseringer og standarder når det gjelder GDPR og cybersikkerhetsarbeid. Noen er GDPR-spesifikke mens andre ikke er det, men de kan være nyttige uansett. 

Nedenfor er en liste over sertifiseringer som du bør vurdere: 

  • ISAE 3000 GDPR-rapport
  • ISO 27701-sertifisering
  • ISAE 3402-rapport
  • ISO 27001-sertifisering

 

Alle kan brukes til å vise GDPR compliance selv om de ikke er like. 

ISAE 3000 brukes ofte i GDPR 

En måte å bruke revisorerklæringer eller sertifiseringer i GDPR-arbeidet ditt er å få en ISAE 3000-revisorserklæring, også kalt en ISAE 3000 GDPR-rapport/erklæring. Formålet er for å vurdere om personopplysninger blir behandlet på en lovlig, ansvarlig og rettferdig måte. Hvis du blir revidert og mottar en ISAE 3000-erklæring kan du vise dette til databehandlerne, og det vil hjelpe deg med å dokumentere at du behandler personopplysninger i samsvar med reglene. 

ISO 27701 er en ny sertifisering laget for GDPR 

I 2019 presenterte den internasjonale ISO-organisasjonen en ny standard: ISO 27701. Mange kjenner til ISO 27001, som vil bli forklart nærmere i neste avsnitt. ISO 27701 er først og fremst en ny sertifisering. 

Navnet på sertifiseringen er “Sikringsteknikker - Utvidelse av ISO/IEC 27001 og ISO/IEC 27002 for håndtering av personverninformasjon - Krav og retningslinjer”. 

Sertifiseringen angir at du er i samsvar med GDPR. Så på papiret ser det ut som den perfekte sertifiseringen for alle. Men denne sertifiseringen er fortsatt ganske ny, og man må se hvordan den fungerer i praksis før vi kan trekke noen konklusjoner. Kanskje ender konklusjonen med at det er en blanding av ISAE 3000 og ISO 27701, som vi trenger, men vi er fortsatt in en læringsprosess. 

Du kan bli sertifisert ifølge ISO 27001 eller sikkerhetsrevidert ifølge ISAE 3402 

Til tross for at ISAE 3000 er den mest GDPR-spesifikke rapporten og ISO 27701 den mest GDPR-spesifikke sertifiseringen, er det mange som vurderer ISAE 3402 og ISO 27001. ISAE 3402 er en grundig erklæring som fokuserer på rapportering og finansielle transaksjoner. Den brukes ofte til å forsikre at den daglige driften og operasjonene innenfor IT utføres trygt og forsvarlig. Derfor kan den brukes til GDPR og cybersikkerhet. ISAE 3402 er basert på rammeverket til ISO 27001. ISO 27001 er en standard som hjelper selskaper med å sikre verdifulle og personlige data. Målet er å skape en sterk informasjonssikkerhet. 

Siden dette er et ganske tungt tema, går vi ikke inn i dybden her. I stedet kan du ta en titt på vår omfattende guide til hva ISO 27001 og ISAE 3402 er, og hva du bør vurdere før du fordyper deg i det. 

ISAE 3000 vs. ISAE 3402 

Hva er forskjellen mellom de to, og hvorfor brukes begge? Det korte svaret er at ISAE 3000 vanligvis handler om data og hvordan det skal beskyttes, og faller innenfor GDPR. 

ISAE 3402 derimot handler om prosesser og fysiske forhold. Det handler om å sørge for at det ikke er nedetid på servere, at det finnes sikkerhetskopier hvis data slettes og at det er prosedyrer for sikkerhetskopiering, loggføring, strøm o.l. Det kan også spille en viktig rolle i å sikre personlige data og mer. 

Sikkerhetsbrudd er ofte forårsaket av menneskelige feil 

Databrudd skjer av og til. Vi er alle mennesker og mennesker gjør feil, spesielt når vi har det travelt eller når vi ikke er helt klare over konsekvensene av handlingene våre. Statistikk fra det danske datatilsynet viser at hovedårsaken til sikkerhetsbrudd var e-poster som ble sendt til feil mottaker. 

En tilsynelatende liten feil, men likevel et sikkerhetsbrudd, ettersom personopplysninger kan havne i feil hender når de sendes til feil personer som ikke skal behandle eller ha tilgang til dem.

Dette viser ikke bare viktigheten av å sørge for at de ansatte er klar over risikoen ved datahåndtering av sensitiv data, men også hvor vanskelig det er å unngå sikkerhetsbrudd. Et av våre hovedmål som et cybersikkerhetsselskap er å redusere antall sikkerhetsbrudd forårsaket av de ansatte. Derfor fokuserer vi så sterkt på bevissthetstrening og phishing-trening. 

Unngå straffer og bøter 

Det er mange regler og forskrifter du må følge når du håndterer et sikkerhetsbrudd. En av de første tingene du må gjøre når det oppstår et sikkerhetsbrudd, er å dokumentere bruddet og varsle de lokale tilsynsmyndighetene dine (datatilsynet i Norge) innen 72 timer etter at du oppdaget bruddet. Du må ha en gyldig grunn for ikke å ha varslet dem innen 72 timer. De fleste sikkerhetsbrudd er ikke så alvorlige at de fører til bøter og straffer. Hvis de riktige prosessene er på plass i organisasjonen din, og du generelt sett gjør ditt beste for å beskytte personlige data, har du ikke så mye å bekymre deg for. På en annen side, hvis du ikke har tatt initiativet til å følge GDPR, og du ikke er klar over retningslinjene for datasikkerhet, kan du ende opp i en ubehagelig situasjon. Sikkerhetsnivået som trengs ved behandling av rettssaker og søksmål lærer vi fortsatt om ettersom de stadig utvikles, og reglene har en tendens til å variere fra land til land. Her kan du lese en artikkel som handler om hvilke typer databrudd som blir bøtelagt, som kan hjelpe deg med å forstå hva som kreves av deg når du jobber med GDPR compliance 

Databeskyttelse er en pågående prosess 

Som vi har diskutert er det ikke så er det ikke bare-bare å bli GDPR compliant, og det finnes ingen standardløsning. Avsnittene over kan hjelpe deg med å finne ut hvilke alternativer som finnes for organisasjonen din, men det er viktig å forstå at det å bli GDPR compliant er en iterativ prosess, og utfordringene er forskjellige fra selskap til selskap. Det er naturlig at du blir sliten og overveldet når du prøver å løse alt på en gang, så prøv å ta det trinnvis.

Start med det enkleste du kan gjøre, og fortsett derifra. 

Følg med på nye vedtak hos GDPR – retningslinjene utvikler seg stadig 

Til slutt vil jeg påpeke viktigheten av å følge med på alle nye vedtak hos personvernforordningen (GDPR). Selv om den har eksistert siden 2018, er det fortsatt en ny forskrift. GDPR utvikler seg stadig, noe som vi så i Schrems II-dommen hvor det ble vedtatt at rammeverket for privatbeskyttelse ikke lenger var et gyldig grunnlag for behandling av personopplysninger i USA. Vi måtte vente et år på nye anbefalinger om hvordan vi overfører personopplysninger til tredjepartsland. 

Høres det ut som en tøff jobb å holde tritt med alle vedtak hos GDPR? Du trenger ikke å bekymre deg, vi hjelper deg. Hvis du registrerer deg til å motta nyhetsbrevet vårt lover vi å oppdatere deg om de viktigste GDPR-relaterte nyhetene og andre emner knyttet til cybersikkerhet.