GDPR
Organisatoriske tiltak for å beskytte personopplysninger
Bedrifter må implementere hensiktsmessige organisatoriske tiltak for å beskytte personopplysningene de behandler. Disse inkluderer å stoppe uautorisert tilgang til personopplysninger, utilsiktet sletting av personopplysninger og beskyttelse av operasjoner mot andre former for brudd på personopplysninger. Jo viktigere personopplysninger selskapet behandler, desto bedre sikkerhetstiltak krever GDPR.
Bedrifter må implementere organisatoriske tiltak for å overholde de andre GDPR-reglene
I tillegg til å ta organisatoriske sikkerhetstiltak for å beskytte personopplysninger, må selskapene også ta slike tiltak for å overholde de andre reglene i GDPR. For eksempel for å oppfylle de registrertes rettigheter i henhold til GDPR. Hvis en registrert ber om korrigering eller sletting av hans eller hennes personopplysninger, må selskapet kunne gi dette. Det er derfor viktig å ha de nødvendige organisatoriske ordninger på plass.
Bedrifter må implementere organisatoriske tiltak for å beskytte personopplysninger
Nedenfor kan du finne ut mer om noen praktiske organisatoriske tiltak som bedrifter bør implementere.
Bygge en god sikkerhetskultur
Det er viktig at selskapene skaper en god sikkerhetskultur gjennom hele virksomheten. Dette gjøres hovedsakelig ved å ta hensiktsmessige organisatoriske sikkerhetstiltak. Et eksempel på hvordan bedrifter kan gjøre dette er ved å tydelig kommunisere hva som forventes av ansatte. Selskapet bør informere de ansatte om prosedyrene og retningslinjene som er på plass innen databeskyttelse. Det letter arbeidet til ansatte i rapportering av feil eller utelatelser. I tillegg er det viktig at alle ansatte som er involvert i behandling av personopplysninger i utførelsen av sine oppgaver, har grunnleggende kunnskap om databeskyttelse.
Å bygge en god sikkerhetskultur i selskapet krever at de ansatte er informert og klar over hvorfor det er viktig. Ansatte bør være oppmerksomme på risikoene på området databeskyttelse, og hvordan de skal handle hvis de oppdager sikkerhetsbrudd eller brudd på personopplysninger.
Varsle brudd på personopplysninger
For eksempel må noen brudd på personopplysninger bli varslet til den ledende DPA. Meldepliktige hendelser skal rapporteres av selskapet som behandlingsansvarlig til vedkommende tilsynsmyndighet innen 72 timer etter at de er oppdaget. For å kunne rapportere i tide er det viktig at selskapet har en god sikkerhetskultur, med en tydelig rapporteringsprosess. Dette hjelper ansatte til å rapportere oppdagelsen raskere i selskapet, slik at selskapet kan iverksette tiltak raskt.
Kontroll av kompetanse
Det er hensiktsmessig, og i noen tilfeller nødvendig, at selskaper som behandler personopplysninger, fastslår hvilken myndighet personer har rett til innsyn i. Dette er for å sikre at ikke alle ansatte har tilgang til behandlede personopplysninger, når det ikke er nødvendig. Særlig bør foretaket innføre slike tillatelsesordninger med hensyn til ytterligere personopplysninger som er verneverdige, for eksempel sensitive personopplysninger i henhold til artikkel 9 i personvernforordningen. Gjennom autorisasjonsstyring kan selskaper forhindre uautorisert tilgang til personopplysninger.
Ikke alle i et selskap trenger vanligvis å ha tilgang til personopplysninger
I mange tilfeller er det ikke nødvendig for alle personer i et selskap å ha tilgang til alle personopplysninger om ansatte og / eller kunder for å kunne utføre sine oppgaver. I slike tilfeller bør de heller ikke ha slik tilgang.
Videre er det viktig å gjennomføre interne rutiner og prosesser for å tilbakekalle ansattes tilgangsrettigheter, ved oppsigelse eller eventuelt konsulentoppdrag.
Skriftlige instruksjoner og interne prosedyrer
Ved å opprette ulike skriftlige instruksjoner og interne prosedyrer for ansatte, er de mindre tilbøyelige til å krenke GDPR i utførelsen av sine plikter. I tillegg er det nyttig å lage instruksjoner om for eksempel hvordan du går frem når et brudd på personopplysninger oppstår. Det samme gjelder når en registrert ønsker å ha en rettighet oppfylt.
Ved å ha dokumenterte prosedyrer og instruksjoner, kan medarbeiderne følge den etablerte prosessen jevnt. Dette sikrer en mer enhetlig håndtering av saker og reduserer risikoen for uregelmessigheter. I tillegg er det gunstig å også utvikle sjekklister som kan brukes av ansatte til å støtte sitt arbeid. For eksempel en sjekkliste på viktige skritt som skal tas i tilfelle et oppdaget brudd på personopplysninger.
Opplæring i databeskyttelse, inkludert GDPR
Det er viktig å lære opp ansatte i databeskyttelse, inkludert GDPR. Selskapet er ansvarlig for å sikre at ansatte overholder GDPR i praksis. For større bedrifter med flere avdelinger kan det være nyttig å ha en ansvarlig person i hver avdeling som blir kontaktperson for personvernspørsmål. I slike tilfeller er det nyttig for en slik kontaktperson, også kalt databeskyttelsesambassadør, å få passende opplæring.
I tillegg bør selskaper med en DPO tilby DPO muligheten for videre opplæring. For eksempel kurs som går gjennom ny praksis i feltet eller nye lover / forskrifter som omhandler databeskyttelse, for eksempel AI-loven.
Mer informasjon om GDPR
Mer informasjon om GDPR
I tillegg til de organisatoriske sikkerhetsforanstaltninger selskapene må ta, må selskapene også ta passende tekniske sikkerhetstiltak. For eksempel kan bedrifter kryptere personopplysninger, sikkerhetskopiere personopplysninger, dele datanettverk, også kalt nettverkssegmentering og autentisering.