Vi nærmer oss ett år siden GDPR ble norsk lov. Vårt inntrykk er at hverdagen med GDPR går greit etter at rutiner, erklæringer og skjemaer kom på plass.
Overtredelser og gebyrer
Til tross for at Datatilsynet varslet om nøye tilsyn i både små og store selskaper etter at GDPR trådte i kraft, har det vært overraskende stille fra Datatilsynet det siste året.
Sakene som har vært omtalt i media tyder på at Datatilsynet først og fremst går etter store organisasjoner og tilfeller der mange mennesker er involvert. Bergen kommune fikk 1,6 millioner kroner i gebyr etter at personopplysningene til 35 000 barn lå tilgjengelig for alle elever. Oslo kommune har fått varsel om et gebyr på 2 millioner kroner fordi det var mulig å logge seg på appen osloskolene bruker for å kommunisere med foreldre og elever, og på den måten få tilgang til sensitive personopplysninger om 65 000 barn. I begge sakene ble det vektlagt av Datatilsynet at personopplysningene gjaldt barn – en spesielt sårbar gruppe som nyter sterkere personvernrettslig beskyttelse enn andre grupper.
Datatilsynet mottok i 2018 1276 avviksmeldinger, 821 av dem (65 %) – etter at GDPR ble innført 20. juli 2018. Datatilsynet har nå varslet at tilsyn vil øke i både mengde og omfang i 2019.
Internt ansvar – intern protokoll over småbrudd og opplæring ansatte
Det norske Datatilsynet har fortsatt ikke utarbeidet et avviksskjema for internt bruk i norske bedrifter, men vårt avviksskjema i GDPR-abonnement gir allerede gode svar på det vi bare kan anta at Datatilsynet vil legge til grunn i sine tilsyn.
Det danske datatilsynet har lagt ut et skjema som de ønsker utfylt ved melding om brudd på GDPR. Skjemaet kan leses her. Vi legger til grunn at det norske Datatilsynet vil være interessert i de samme opplysningene.
Vi arbeider nå med å utarbeide en sjekkliste som i enda større grad tilsvarer sjekklisten til det danske datatilsynet. Denne vil bli oversendt våre GDPR-abonnenter til høsten.
Skjemaet vektlegger interne rutiner, men også hvem som har ansvar internt for å vurdere om det er skjedd brudd og hvilke skritt som skal tas. Det er derfor viktig at det er klarhet i egen organisasjon om hvem som har ansvar for GDPR.
kjemaet etterspør protokoll over alle brudd som har skjedd, noe som viser at det viktig at det føres en intern protokoll over alle små feiltrinn.
Til sist spørres det også om informasjon til ansatte er gitt. Vi regner med at alle har informert alle ansatte om interne rutiner i forbindelse med GDPR, men om det ikke er gjort er det bedre sent enn aldri.
Kryptering av spesielle kategorier personopplysninger i e-post
Vårt inntrykk er at kryptering er det svake punktet og der det syndes mest. Det danske datatilsynet har også lagt ut skjema de sender ut før tilsyn.
De vektlegger først og fremst om det sendes spesielle kategorier (tidligere sensitive) opplysninger med åpen e-post. Dersom spesielle kategorier opplysninger sendes kryptert, etterspør de hvem som kan sende kryptert e-post og diverse tekniske spørsmål for å kunne vurdere hvor god graden av kryptering er.
Det aller viktigste å merke seg er at ikke-sensitive personopplysninger tydeligvis ikke vurderes som å måtte krypteres. Denne praksisen fremstår praktisk, men mindre forsiktig enn teksten i GDPR foreskriver. Vi vet ikke om Datatilsynet har lagt seg på samme linje, og anbefaler inntil videre å kryptere det aller meste av personopplysninger som sendes på e-post.
Atferdsnormen for regnskapsbransjen
I februar skrev Datatilsynet at de begynte å arbeide med godkjennelse av atferdsnormer som er sendt inn for godkjenning. Så vidt vi vet er de enda ikke kommet til atferdsnorm for behandling av personopplysninger i regnskapsbransjen.
GDPR i ditt foretak?
Nå er det kanskje tid til å ta en fot i bakken og tenke gjennom hvordan ditt foretak har implementert GDPR i sin hverdag? Datatilsynet varsler nå at tilsyn i både små og store bedrifter vil øke i mengde og omfang i løpet av 2019. Vår erfaring er at klienter som mottar rutiner, erklæringer og skjemaer fra oss gjennom vår GDPR-bistandsavtale har lave skuldre og er godt rustet for et eventuelt tilsyn.
Gjennom vår bistandsavtale kartlegger vi din bedrifts personvernsikkerhet på en enkel måte, og gir deg de verktøyene du trenger for å være compliant med de «nye» personvernreglene.
GDPR-Abonnement
God oversikt trenger ikke være komplisert – eller dyrt. Som abonnent hos oss betaler du kun 900,- per måned i tillegg til et etableringsgebyr. Du vil motta nyhetsbrev, oppdaterte dokumenter/sjekklister og får bistand dersom du trenger juridisk rådgivning.
Ta kontakt på berit@strandenas.no for mer informasjon og etablering av GDPR-abonnement.