GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Informasjon om GDPR

Informasjonssikkerhet

Bedrifter må jobbe med sin informasjonssikkerhet for å sikre en tilstrekkelig beskyttelse av behandlede personopplysninger. Det bør treffes tekniske og organisatoriske sikkerhetstiltak for særlig å hindre lekkasje, uautorisert endring eller ødeleggelse av personopplysninger.

Bedrifter må jobbe med informasjonssikkerhet

En stor del av informasjonssikkerheten handler om å sikre at de rette personene i et selskap har tilgang til riktig informasjon og på en riktig måte, slik at selskapet kan oppfylle sine forpliktelser i henhold til GDPR. Dersom selskapet for eksempel må melde bruddet på personopplysningssikkerheten til den nasjonale personvernmyndigheten, bør det gjøre det innen 72 timer etter at det er oppdaget. Når en registrert ber om tilgang til hans eller hennes personopplysninger i samsvar med GDPR, er det viktig at ansatte som skal oppfylle denne retten i praksis vet hvordan de skal gå frem.

Brudd på personopplysninger og hvordan de skal håndteres

Hvis en uautorisert person får tilgang til personopplysninger som behandles av selskapet, er det et brudd på personopplysningssikkerheten. For eksempel, hvis en person hacker seg inn i et datasystem og får tilgang til personopplysninger. I tillegg er det uautorisert tilgang dersom en ansatt i foretaket som ikke har tilgang til personopplysninger, mottar det under alle omstendigheter. Brudd på personopplysninger kan få alvorlige konsekvenser for registrerte, for eksempel svindel, identitetstyveri eller skadelige rykter.

What breaches of the GDPR can lead to an administrative fine?

To andre EU-bestemmelser

  • AI-regelverket
  • Regulering av opplysninger

Det er også et brudd på personopplysninger hvis personopplysninger blir slettet eller endret ulovlig. For eksempel, hvis en datamaskin som behandler personopplysninger påvirkes av et virus, og derfor går alle personopplysninger tapt. Det er derfor nyttig å implementere tekniske sikkerhetstiltak, for eksempel lagring av sikkerhetskopifiler på en skytjeneste og installering av antivirussystemer. 

Risikovurdering av et brudd på personopplysningssikkerheten som har inntruffet

Ved brudd på personopplysningssikkerheten skal foretaket foreta en risikovurdering. Formålet er at selskapet skal vurdere risikoen for at bruddet på personopplysningssikkerheten kan utgjøre for de berørte registrerte. Selskapet kan da avgjøre om det er behov for å informere dem om bruddet på personopplysninger som skjedde. Sensitiviteten til personopplysninger er en viktig faktor for å vurdere alvorlighetsgraden av hendelsen. Jo viktigere personopplysninger er, jo mer alvorlig er det.

Dokumentasjon av enkeltstående brudd på personopplysningssikkerheten som har inntruffet

Alle virksomheter skal dokumentere brudd på personopplysningssikkerheten skriftlig. Dette gjelder uavhengig av om selskapet har behov for å informere tilsynsmyndigheten og/eller de registrerte om hendelsen eller ikke. Vær oppmerksom på at den nasjonale personvernmyndigheten kan be om tilgang til dokumentasjonen av bruddet på personopplysningssikkerheten ved tilsyn. Dokumentasjonen skal blant annet inneholde opplysninger om hva som har skjedd og hvilke tiltak som er truffet av selskapet siden den gang.

Grenseoverskridende behandling av personopplysninger

I noen tilfeller kan et brudd på personopplysningssikkerheten være relatert til flere land i EU. I slike tilfeller foreligger det et grenseoverskridende brudd på personopplysningssikkerheten. Det er viktig for selskaper som behandler personopplysninger i flere land i Unionen, å vite hvem som er selskapets ledende tilsynsmyndighet. I tilfelle av et grenseoverskridende brudd på personopplysninger som er meldepliktig, skal selskapet varsle den ledende tilsynsmyndigheten.

Forebyggende tiltak

Selskaper skal forhindre brudd på personopplysninger ved å treffe hensiktsmessige tiltak. I tillegg må selskapene vite hvordan de skal handle i tilfelle brudd på personopplysninger. Foretaket kan for eksempel etablere interne rutiner for at ansatte skal vite hva de skal gjøre. Det er viktig å handle så raskt som mulig i tilfelle mistanke eller påvisning av brudd på personopplysninger, da konsekvensene kan bli verre, jo lengre tid går.

Tips: Bedrifter kan laste ned veiledning fra European Data Protection Board om hvordan selskaper kan håndtere brudd på personopplysninger.

Kommunisere et brudd på personopplysninger til registrerte

I visse tilfeller, hvis det oppstår et brudd på personopplysningssikkerheten, må selskapet informere de berørte registrerte. Dette skal være tilfellet når bruddet på personopplysningssikkerheten sannsynligvis vil medføre en høy risiko for de registrertes rettigheter og friheter. I tillegg kan det i noen tilfeller hende at selskapet må varsle om bruddet på personopplysningssikkerheten til den nasjonale databeskyttelsesmyndigheten. En melding til den nasjonale personvernmyndigheten skal gis innen 72 timer etter påvisningen. Den behandlingsansvarlige er ansvarlig for å gjennomføre meldingen.

Et selskap i Polen måtte betale en bot for blant annet å ikke overholde sin forpliktelse til å varsle brudd på personopplysninger til tilsynsmyndigheten i tide.

Organisatoriske sikkerhetstiltak for å beskytte personopplysninger som behandles

Selskapene skal blant annet treffe egnede organisatoriske tiltak for å beskytte personopplysningene de behandler. Dette fremgår av et av de grunnleggende prinsippene i artikkel 5 nr. 1 bokstav f) i GDPR, nemlig prinsippet om integritet og konfidensialitet. Selskaper må med andre ord ta passende sikkerhetstiltak ved behandling av personopplysninger.

Kontroll som et sikkerhetstiltak

For å sikre at ikke flere personer har tilgang til personopplysninger enn nødvendig, er det nyttig å gjennomføre god autorisasjonsforvaltning. Med andre ord, for å bestemme hvem som kan få tilgang til hvilke personopplysninger. I lovverket og GDPR er kompetansebegrepene viktige begreper å forstå.

Tillatelser

Dette refererer til tilgangen en person har til personopplysninger.

Kompetanse

Dette gjelder hva en person har lov til å gjøre med personopplysningene, og når og hvordan behandlingen kan finne sted.

Instrukser og interne prosedyrer for ansatte

For å minimere risikoen for at ansatte bryter GDPR-reglene og for å gjøre arbeidet enklere, er det nyttig å utarbeide skriftlige instrukser. For eksempel skriftlige prosedyrer for hvordan du går frem når et brudd på personopplysninger oppstår. Skriftlige instruksjoner og interne prosedyrer er også en god måte å vise at selskapet overholder GDPR og ansvarlighetsprinsippet.

Opplæring i databeskyttelse for ansatte

Det er nyttig å tilby opplæring til ansatte som arbeider med databeskyttelsesspørsmål. Spesielt hvis selskapet har en databeskyttelsesansvarlig. For eksempel bør selskapet tilby videre opplæring til sin GDPR Data Protection Officer (DPO) når ny praksis dukker opp. I tillegg er det nyttig å tilby en form for grunnleggende opplæring under GDPR til andre ansatte som behandler personopplysninger som ledere, kundeservicearbeidere og selgere.

Bygge en god og sterk sikkerhetskultur

Det er nyttig å bygge en god sikkerhetskultur i selskapet som gjennomsyrer hele virksomheten, inkludert behandling av personopplysninger. Dette handler med andre ord om å skape felles verdier, tilby kunnskap og skape en motiverende holdning til personvernarbeid. Det er for eksempel nyttig å opprette framgangsmåter og instrukser for hvordan medarbeiderne skal opptre og rapportere mistanker om brudd på personopplysningssikkerheten.  

Tekniske sikkerhetstiltak for å beskytte personopplysninger

I tillegg til de organisatoriske sikkerhetstiltakene som selskapet må gjennomføre, skal det også iverksettes tekniske sikkerhetstiltak for å beskytte personopplysningene. Tiltakene selskapene må ta, avhenger blant annet av arten av behandlingen og betydningen av personopplysningene. Nedenfor finner du noen eksempler på vanlige tekniske sikkerhetstiltak.

Autentisering for innlogging

Det kan være nødvendig for personer å bekrefte sin identitet før de får tilgang til personopplysninger, også kjent som autentisering. For eksempel ved innlogging i et system som behandler personopplysninger, for eksempel selskapets økonomisystem eller CRM-system. Avhengig av situasjonen kan det hende at selskapet må implementere en sikrere autentiseringsprosess. For eksempel ved å kreve ekstra identitetsbekreftelse når du logger inn, for eksempel fingeravtrykk eller en kode.

Hvis en person logger inn i en bank for å overføre penger, er det ikke tilstrekkelig trygt å bare logge inn med brukernavn og passord. Det kan imidlertid være tilstrekkelig for personen å logge inn på selskapets sosiale medier.

Kryptering av informasjon

Kryptering er et felles teknisk sikkerhetsforanstaltning for bedrifter å implementere med sikte på å beskytte personopplysninger. Spesielt når det gjelder ytterligere personopplysninger som fortjener beskyttelse, for eksempel sensitive personopplysninger regulert av artikkel 9 i GDPR. Kort sagt betyr kryptering at dataene bare blir lesbare ved å gi en riktig hemmelig krypteringsnøkkel. Dette reduserer risikoen for uautorisert tilgang til informasjonen.

I noen tilfeller kan kryptering av personopplysninger være nødvendig for både overføring og lagring. For eksempel, hvis en arbeidsgiver ønsker å sende en lønnsslipp via e-post til en ansatt som inneholder informasjon om sykefravær, som er sensitive personopplysninger. I slike tilfeller skal lønnsslippen sendes via kryptert e-post.

Sikkerhetskopiering av data

Mange er ikke klar over at personopplysninger som er ulovlig endret eller slettet, utgjør en type brudd på personopplysningssikkerheten. For eksempel, hvis en datamaskin som lagrer personopplysninger får et virus og personopplysningene dermed går tapt. Derfor er det nyttig å ha en sikkerhetskopi av personopplysningene, for eksempel på en skytjeneste. Vær oppmerksom på at det er viktig å beskytte sikkerhetskopiene, akkurat som originalen.

Nettverkssegmentering

Ved å dele et datanettverk i flere undernettverk (nettverkssegmentering), kan selskapet forhindre uautorisert tilgang og utlevering av personopplysninger. Med andre ord hindrer nettverkssegmentering kommunikasjon mellom for eksempel to systemer, som ikke trenger å kommunisere med hverandre.

Dermed, hvis en uautorisert person går inn i et undernettverk, har han eller hun ikke tilgang til all informasjon som ville ha eksistert der, hvis selskapet ikke delte datanettverket i flere undernettverk.

Mer informasjon om GDPR

Overføring av personopplysninger til et tredjeland

Hvis et selskap overfører personopplysninger til et land utenfor EU/EØS, er det en overføring til et tredjeland. Dette kan tillates, men reglene er strengere. Et eksempel på en overføring til et tredjeland er når et selskap i Tyskland sender et dokument som inneholder personopplysninger til et selskap i USA. Det er viktig å kjenne reglene ved overføring til tredjeland for ikke å bryte GDPR.  

Lyst til å lære mer?

Les mer
Skroll til toppen