Nordigi AS, click for home. Nordigi AS, click for home.

Mandag - Fredag
08.00 - 16.00
 +47 959 23 610

Nordigi - We make Internet of Things

EUs forordningen for personvern, GDPR (General Data Protection Regulation), vil gjøre at vi i Norge får nye personvernregler som trer i kraft 2018. Reglene vil gjelde alle virksomheter som samler inn eller bruker personopplysninger om EU/EØS-borgere. Vi som virksomheter får nye plikter og alle EU/EØS-borgere som får sine personopplysninger registret får nye rettigheter.

Datatilsynet har sammenfattet de nye regelendringene i følgende 10 punkter.

  1. GDPR vil gjelde for alle norske virksomheter.
    Alle bedrifter plikter å sette seg inn i den nye lovgivningen og finne ut hvilke nye krav som gjelder dem. Bedriften må sørge for å få på plass rutiner for å overholde de nye kravene, og påse at alle ansatte følger de nye rutinene når loven trer i kraft.

  2. Alle virksomheter skal ha en forståelig personvernerklæring.
    Informasjon om hvordan bedriften behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.

  3. Virksomheten skal vurdere risiko og personvernkonsekvenser.
    Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og bedriften ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.

  4. Virksomheten skal bygge personvern inn i nye løsninger. De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.

  5. Mange virksomheter må opprette personvernombud.
    Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart.

  6. Forordningen gjelder også virksomheter utenfor Europa.
    Virksomheter som holder til utenfor Europa må også følge reglene i GDPR, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter.

  7. Alle databehandlere får nye plikter.
    Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.

  8. Virksomheter bør samarbeide i egne nettverk og følge bransjenormer.
    De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Hvis man velger å følge bransjenormer, vil man ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene.

  9. Alle virksomheter får nye krav til avvikshåndtering.
    Reglene for håndtering av sikkerhetsbrudd blir strengere. GDPR stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles.

  10. Alle virksomheter må kunne oppfylle borgernes nye rettigheter.
    Den enkeltes rett til å kreve at personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned.

Utfyllende informasjon om de nye personvernreglene finner man på nettsiden til datatilsynet: www.datatilsynet.no