Organisatoriske målinger
Sikkerhetskultur i databeskyttelse og cybersikkerhet
Bedrifter bør ha en sterk sikkerhetskultur innen databeskyttelse og cybersikkerhet for å beskytte personopplysninger de behandler. Et personopplysningselement er et stykke data som kan knyttes til en naturlig levende person. For eksempel et navn, personnummer, passnummer eller lignende. I tillegg skiller GDPR mellom «vanlige» personopplysninger og personvernsensitive personopplysninger.
Forebygging av brudd på personopplysninger gjennom tekniske og organisatoriske sikkerhetstiltak
Selskaper skal forhindre brudd på personopplysningssikkerheten. Dette gjøres ved å implementere hensiktsmessige tekniske og organisatoriske sikkerhetstiltak. I tillegg må selskaper minimere konsekvensene av brudd på personopplysninger, holde oversikt over dem og i noen tilfeller informere berørte registrerte. Den nasjonale personvernmyndigheten skal også underrettes ved visse typer brudd på personopplysningssikkerheten.
Et selskap i Polen måtte betale en bot fordi det varslet et brudd på personopplysninger sent til den nasjonale databeskyttelsesmyndigheten.
Høyere krav til vesentlige personopplysninger
Jo viktigere personopplysningene er, desto høyere er kravene til virksomheter. Behandlingen av sensitive personopplysninger, som utgjør en av fire kategorier av personvernsensitive personopplysninger, er svært krevende.
Sikkerhetskultur i et selskap
Betydningen av sikkerhet eller databeskyttelseskultur er felles verdier, kunnskap, holdning og oppførsel av de som jobber i selskapet, for å gi sikkerhet om behandling av personopplysninger. Selskaper må beskytte personopplysninger ved å implementere egnede tekniske og organisatoriske sikkerhetstiltak. Å ha en god sikkerhetskultur vil øke evnen til å beskytte personopplysninger. Sikkerhetskulturen bør også omfatte cybersikkerhet og beskyttelse av personopplysninger.
Eksempler på hva bedrifter kan gjøre for å bygge en sterk og god sikkerhetskultur
Ledelsens rolle
Ledelsen har en viktig rolle i selskapet for å sikre at driften overholder GDPR. Derfor er det godt å ha en forpliktelse til å jobbe med GDPR-spørsmål i ledelsen. For eksempel ved å kontinuerlig diskutere databeskyttelse under styremøter og analysere forbedringsområder.
Utdannelse
Bedrifter må trene ansatte til å overholde GDPR i sitt praktiske arbeid. Spesielt ansatte som arbeider med databeskyttelse. Hvis selskapet har en databeskyttelsesansvarlig (DPO), bør de også gi videre opplæring til DPO under GDPR. Ved å ha skriftlige instruksjoner og prosedyrer, kan personalet enkelt lese hva de trenger å gjøre for å overholde reglene, da det er fare for at de kan glemme eller gjøre feil hvis de bare får lov til å høre det muntlig.
Engasjere mer
Det er ikke bare de som jobber med databeskyttelsesspørsmål som kan dra nytte av kunnskap på feltet. Det er positivt at alle i bedriften har tilgang til informasjon om sikkerhetskulturen, slik at de føler seg ansvarlige og kan bidra. For eksempel er det nyttig å utdanne alle ansatte om felles cyberrisiko, noe som kan føre til brudd på personopplysninger. For eksempel om phishing-angrep, og hvordan det kan oppdages.
Kontroll av kompetanse
Det er viktig at ansatte som trenger tilgang til personopplysninger har det, men ikke andre ansatte. Derfor må selskapet administrere tillatelsene og kontrollere tilgangsrettighetene til systemene som behandler personopplysninger. For eksempel trenger ansatte fra Finansavdelingen tilgang til blant annet regnskapssystemet for å kunne utstede fakturaer til kunder. Derimot trenger ikke alle ansatte i foretaket nødvendigvis slike tilgangsrettigheter.
Rapporteringsprosess
Bedrifter er pålagt å rapportere visse typer brudd på personopplysninger til registrerte og den nasjonale databeskyttelsesmyndigheten. På den annen side må ansatte som finner ut at det har oppstått et brudd på personopplysninger, rapportere det internt til riktig person. Det er derfor viktig å lage en klar prosess for hvordan dette skal gjøres. For eksempel kan det lette utviklingen av en sjekkliste som skal brukes av ansatte hvis de mistenker et brudd på personopplysninger. I tillegg er det viktig at intern kommunikasjon er rask og smidig, da det er tidsfrister som selskapene må overholde når det gjelder meldepliktige brudd på personopplysninger, kan konsekvensene bli mye verre jo lenger tiden går og jo større forsinkelsen er.
Større selskaper kan ha databeskyttelsesambassadører for å lette databeskyttelsesarbeidet
Jo større selskapet er, desto større er utfordringene knyttet til intern kommunikasjon om personvernrelaterte saker. Det er viktig at selskapet lcykas kommuniserer sine interne prosedyrer, retningslinjer, etc. innenfor sin virksomhet jevnt, for å sikre at riktig informasjon når ansatte. I tillegg er det viktig for ansatte å kunne formidle viktig informasjon til selskapets ledelse på en smidig måte.
En måte å legge til rette for denne kommunikasjonsflyten er å utnevne databeskyttelsesambassadører i de ulike avdelingene i aktiviteten. Disse ambassadørene bør få ytterligere opplæring i GDPR og databeskyttelse generelt, og fungere som et knutepunkt for kommunikasjon mellom ledelse og ansatte. På denne måten kan kommunikasjonen i feltet flyte lettere i virksomheten.
Mer informasjon om organisatoriske mål
Interne prosedyrer og instrukser for ansatte
Ved å opprette skriftlige interne prosedyrer og instrukser for medarbeiderne, reduserer selskapet risikoen for at medarbeiderne bryter GDPR i utførelsen av sine oppgaver. For eksempel kan selskaper utarbeide instruksjoner om hvordan ansatte skal gå frem når en registrert ber om tilfredsstillelse av en av sine rettigheter. Faktisk er det viktige frister å overholde i henhold til GDPR, og innholdet i informasjonen til den registrerte må oppfylle spesifikke minimumskrav. Skriftlig dokumentasjon gjør det også lettere for selskapet å bevise samsvar med prinsippet om ansvarlighet i henhold til artikkel 5 nr. 2 i GDPR.