GDPR kunnskapsbase

Har du fått beskjed fra en av dine viktigste kunder at du må (be)vise at du compliant, såkalt "GDPR-klar"?

Krever noen dokumentasjon på deg som databehandler etter GDPR artikkel 28, punkt 3, bokstav h)? Eller skal du levere et offentlig anbud der et krav er å "demonstrere etterlevelse" av personvernforordningen?

Eller er du den som ønsker slik dokumentasjon? Som pålegger leverandører og databehandlere å bevise at de...

Hva er GDPR?

GDPR står for General Data Protection Regulation og er et europeisk lovverk om personvern som også gjelder i Norge. GDPR på norsk oversettes til personvernforordningen, og er en del av personopplysningsloven. GDPR gjelder for alle virksomheter i Norge som behandler personopplysninger. Les hele loven på Lovdata.

Hvis du vil forstå hva GDPR er, og betyr for din bedrift, setter du av tid til å lese gjennom hele artikkelen, som...

I dette innlegget skal vi gå gjennom hvordan du holder deg løpende GDPR-compliant. For å gjøre det, må du først ha grunnmuren på plass.

Og GDPR-arbeidet består grovt sett av tre faser:

• Forstå hva GDPR er og betyr for din bedrift
• Få personvernarbeidet opp på et visst minimum
• Hold deg løpende «GDPR-klar» (compliant)

Når du har fått på plass de to første...

Aller først; dette er ikke et innlegg for å lære om GDPR. Jeg forutsetter følgende:

• At du forstår det grunnleggende i GDPR.
• Du har behandlingsprotokollen på plass,
• vet hvor personopplysningene du behandler, lagres,
• og har innhentet databehandleravtaler.

Alt dette kan du lese om i denne guiden: Hva er GDPR og hva betyr GDPR for en liten bedrift?

Denne artikkelen handler om hvordan du skal håndtere «Schrems II»-dommen...

Hva er særlige kategorier personopplysninger?

En personopplysning, etter GDPR, personvernforordningen, er en opplysning eller vurdering som kan knyttes til deg som enkeltperson. Begrepet tolkes svært bredt, men noen typiske personopplysninger er navn, e-postadresser, bilregistreringsnummer, bilder, mobilnummer, IP-adresser og kjøpshistorikk.

I tillegg til typiske og kanskje mer «ufarlige» personopplysninger, er det noe som heter...

«Risikovurdering» høres fremmed ut for mange, men det betyr helt enkelt dette: å vurdere hva som kan gå galt, finne ut hvordan du forhindrer det, og hva du må gjøre hvis noe likevel skjer.

Datatilsynet skriver:

Virksomheten skal gjennomføre en risikovurdering før personopplysninger behandles og før man tar i bruk et informasjonssystem [og] ved endringer i forhold som kan påvirke...

Hvis dette er første gangen du leser om GDPR, eller ikke har gjort noe annet i arbeidet, da er ikke dette innlegget for deg.

Dette er for deg som har kommet litt lenger ned i løypa. Du har:

1. På plass en grunnleggende forståelse om hva GDPR er
2. Fylt ut behandlingsprotokollen (eller i alle fall startet på den)
3. Sjekket hvor databehandlerne holder til, for å vite om du kun trenger databehandleravtaler, eller også nødvendige...

Ikke stol på alt du leser om GDPR

GDPR er allerede et komplisert område for mange og de fleste jeg snakker med føler seg overveldet.

Og til tross for at all informasjonen du trenger, ligger gratis tilgjengelig på Datatilsynets nettsider, er det mange som likevel sliter med å forstå nøyaktig hva de trenger å gjøre.

(GDPR i Norge er én ting - husk at du må være ekstra nøye på lovverket...

GDPR på din nettside er ditt ansvar

For å kunne informere tilstrekkelig etter GDPR på nettstedet ditt må du forstå noe rundt hva slags teknologi nettsiden din bygger på, og hva slags funksjonalitet som ligger i den.

Du som eier nettstedet er ansvarlig for at du følger kravene etter GDPR. Hvis du bruker et byrå eller får hjelp av en person til det tekniske, er det fortsatt ditt ansvar å sørge for at...

Cookies og GDPR på nettsiden din er ditt ansvar

Etter GDPR, ny personvernforordning, plikter du å informere tydelig om hvordan du behandler personopplysninger på nettstedet ditt (og for øvrig i hele virksomheten din).

Les også: GDPR på nettsider: dette plikter du å informere om

Hvis du bruker et byrå eller får hjelp av en person til det tekniske, er det fortsatt ditt ansvar å sørge for at...