GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Organisatoriske målinger

Kontroll er en viktig sikkerhetsforanstaltning under GDPR

Når et selskap behandler personopplysninger, er det sjelden nødvendig at alle ansatte i selskapet har tilgang til personopplysningene. Derfor er det viktig at selskapet implementerer autorisasjonspolicyer for å sikre at de rette personene har tilgang til dem. Dette innebærer at foretaket skal forvalte arbeidstakernes adgangsrettigheter innenfor foretakets ulike digitale systemer som benyttes til behandling av personopplysninger.

Prinsippet om «need to know»-tilgang

«Nødvendig å vite grunnlag» er et prinsipp som sier at bare den som trenger tilgang til personopplysninger i en organisasjon for å kunne utføre sitt arbeid, skal ha tilgang til dem. Dette kan innebære tilgang til ulike dokumenter og registre som inneholder personopplysninger. Rettigheter til hele systemet. 

Et regnskapssystem inneholder for eksempel personopplysninger om både foretakets ansatte og kunder. For eksempel fakturaer, lønnsdokumenter, etc. Det er ofte ikke nødvendig for alle ansatte å ha tilgang til det finansielle systemet, men det kan være tilstrekkelig for et lite antall personer å ha tilgang. For eksempel til ansatte som arbeider spesielt med økonomiske og regnskapsmessige forhold i selskapet.

What breaches of the GDPR can lead to an administrative fine?

Skillet mellom kompetanse og kompetanse

Kompetanse og kompetanse er to viktige begreper i loven, men mange forvirrer dem. Disse to begrepene er sentrale i GDPR-konteksten, som omhandler tilgang til og styring av personopplysninger innenfor en aktivitet. Disse gjelder spesielt de ansattes roller, samt hva de kan og kan gjøre med personopplysninger.  

Sensitive personal data according to GDPR

Jurisdiksjon (autorisasjon)

Kort sagt, dette refererer til hvilken tilgang et medlem av personalet har til personopplysninger. Dette refererer derfor til personopplysningene som den ansatte teknisk sett har tilgang til. Dette inkluderer systemtilgangen den ansatte har, for eksempel påloggingsinformasjon og brukerkontoer til systemer som behandler personopplysninger. Et konkret eksempel på når en medarbeider er kvalifisert for en ordning er: Den ansatte har fullmakt til å logge inn i bedriftens CRM-system der personopplysninger om kunder befinner seg, gjennom at bedriftens administrerende direktør har opprettet en brukerkonto i systemet for den ansatte.

What is the definition of anonymised data?

Empowerment (instruksjon / tillatelse)

Dette handler om hva en medarbeider faktisk har lov til å gjøre med personopplysningene. Det vil si policyen eller instruksjonen som styrer hvordan personopplysningene kan behandles av den ansatte. Inkludert når og hvordan medarbeiderne vil behandle personopplysningene. Et eksempel på empowerment er: Den ansatte har fullmakt til å se alle kundenes personopplysninger i CRM-systemet. På den annen side har arbeidsgiveren gitt klare instrukser om at arbeidstakeren bare har myndighet til å behandle personopplysningene til kundene som arbeidstakeren har solgt selskapets produkter til. Dermed har den ansatte ikke makt til å behandle personopplysningene til andre kunder, selv om den ansatte er autorisert til å se dem i systemet.

Eksempler på hvordan en virksomhet kan arbeide med kompetansestyring

Analyser behovet

Først og fremst er det viktig å analysere behovene til ulike roller i selskapet. Det vil si å finne ut hvilke medarbeidere som trenger tilgang til hvilke personopplysninger for å kunne utføre sine oppgaver.

Dokumentasjon

I henhold til GDPR må virksomheter kunne demonstrere overholdelse av regelverket, i samsvar med prinsippet om ansvarlighet regulert i artikkel 5 nr. 2 i GDPR. Derfor er det nyttig å alltid dokumentere databeskyttelsesarbeidet skriftlig. I tillegg er det tydelig dokumentasjon på hvem som trenger tilgang til hvilke personopplysninger som kan forenkle prosessen for de ansatte.

Tilgang

Administrer tilgang og tillatelser for ulike typer brukere, slik at de riktige personene har tilgang til de riktige personopplysningene. I tillegg kan det være nyttig å ha ulike kompetansenivåer. For eksempel bør ikke alle brukere av et system være «administratorer». I noen tilfeller er det tilstrekkelig å gi «Lesetillatelse» og at noen har «Rediger»-rettigheter.

Rutiner

De som er involvert i forvaltningsmyndigheten i selskapet, bør motta skriftlige instrukser om hvordan dette skal gjøres. Den bør også inneholde opplysninger om hva de ulike kompetansene betyr for å sikre riktig fordeling av myndighet og kompetanse. Det er også viktig å ha en prosedyre for tilbaketrekking av tildelte tilgangsrettigheter. For eksempel når en ansatt avslutter sitt ansettelsesforhold til foretaket.

Mer informasjon om GDPR

Opplæring for ansatte i GDPR og databeskyttelse generelt

Bedrifter bør trene sine ansatte i databeskyttelse, inkludert GDPR. På den annen side betyr det ikke nødvendigvis at alle ansatte skal være oppmerksomme på alle regler i GDPR. Hvis et selskap har flere avdelinger, er det nyttig å trene ansatte i hver avdeling i saker som er relevante for deres spesifikke oppgaver. I tillegg bør selskapene tilby videreutdanning til sin DPO, hvis de har en. Grunnen til at opplæring er spesielt viktig er at det i praksis er de ansatte som behandler personopplysninger, og hvis det ikke gjøres riktig, er det selskapet som anses å være i strid med GDPR. 

Lyst til å lære mer?

Les mer
Skroll til toppen