Hjelp dine kunder å forberede seg til den nye personvernsloven - GDPR!

EU har besluttet en ny personvernlovgivning – det påvirker også norske selskaper! EU sin forordning for personvern (GDPR) trer i kraft mai 2018. Loven erstatter de gamle direktivene om databeskyttelse og samler de databeskyttelseslover som allerede finnes i de ulike EU-landene.

De forandringene som først og fremt kommer til å påvirke organisasjoner og foretak er:

1. Databeskyttelse må bygges inn organisasjoners forretningsprosesser i alle systemer, nettverk og applikasjoner som tilbys automatisk.

2. Personopplysninger kan bare oppbevares så lenge som nødvendig. Deretter må opplysningene slettes på en sikker måte eller anonymiseres.

3. Rett til å bli slettet. Brukere har muligheten til å be om at deres personlige data skal bli slettet. De har også rett til å kreve flytting av sine data til andre tjenesteleverandører og ha innsyn i hvordan dataene deres behandles.

4. Pliktig informasjon om angrep. Når organisasjoner opplever angrep som kan kompromittere personopplysninger, har organisasjonen plikt til umiddelbart å rapportere det til myndighetene og den enkelte som er berørt innen 72 timer etter at bruddet ble oppdaget.

5. Straffetillegg for de organisasjoner som ikke oppfyller kravene. Bøter på opptil 4% av organisasjonens årlige omsetning kan bli utfallet.

Hva er personlige data?
All informasjon om et individ, uavhengig av om det har å gjøre med en persons privat-, profesjonelle- eller offentlige liv. Dette inkluderer navn, bilder, e-postadresse, IP-adresse, bankdetaljer, medisinsk informasjon og selv innlegg i sosiale medier.

Hvem blir berørt?
General Data Protection Regulation vil påvirke alle organisasjoner som håndterer personopplysninger av en borger i et EU-land. Dette betyr at selskaper basert utenfor EU, men som selger varer eller tjenester til personer som er borgere av et EU-land, må være i samsvar med den nye loven.

Når loven trer i kraft?
Lovforslaget ble vedtatt våren 2016, og det tar to år før loven trer i kraft, det vil si 25. mai 2018.

Hvorfor skal jeg bry meg nå?
For noen organisasjoner, vil denne lovendringen kreve store omveltninger i data håndtering. 2 år kan absolutt være nødvendig for å ha nok tid til å gjennomføre endringene.

Hvordan kan jeg forberede meg?

1. Start ved å få en forståelse av hvordan organisasjonen håndterer personopplysninger i dag, og hvem som har tilgang til den.

2. Begrens tilgang til personopplysninger, avhengig av virksomhetens behov og implementer systemer for å oppdage og motvirke uautorisert tilgang til disse dataene.

3. Vurdere sikkerheten organisasjonen allerede har iverksatt for å beskytte data, hvor effektive de er og hvilke hull du trenger å fylle.

4. Legg en plan for hvilke forbedringer som må iverksettes på bakgrunn av ferdigheter, programmer, prosesser og teknologi.

5. Sett opp en prosess for å varsle når hacking skjer.

Men først: ta kontakt med din leverandør av løsninger for IT og datasikkerhet!

Du har fortsatt tid til å forberede organisasjonen. Bruk de tips og råd du kan få! 

Her kan du gjøre en rask test for å se hvor godt forberedt organisasjonen står ovenfor den nye loven; https://www.sophos.com/en-us/lp/compliancecheck/questionnaire.aspx

Her kan du laste ned en verktøykasse for GDPR i Norden;
https://www.forcepoint.com/gdpr-opportunity-improve-data-protection-nordics

Sjekk også ut følgende informasjon: 
http://blog.trendmicro.no/gdpr-bor-forberede/

https://secure2.sophos.com/en-us/security-news-trends/whitepapers/gated-wp/eu-data-protection-laws.aspx

https://www.ipswitch.com/resources/best-practices/gdpr

https://www.rapid7.com/docs/EU-Data-Protection-Law-Quick-Guide.pdf