Ny personvernlovgiving – Hva må du tenke på som leder og ansvarlig i en bedrift eller organisasjon?

  • Personvern

    Ny personvernlovgiving – Hva må du tenke på som leder og ansvarlig i en bedrift eller organisasjon?

    Ny personvernlovgiving – Hva må du tenke på som leder og ansvarlig i en bedrift eller organisasjon?

    Sist innlegg handlet om hva den nye personvernlovgivningen vil si for deg som privatperson, hvilke rettigheter du har og hvilke forventninger du kan ha til de som behandler dine personopplysninger. Men hva forventes så av deg som leder og ansvarlig i en bedrift eller organisasjon?

    I korte trekk handler det om gode rutiner, kontroll, tilgangsstyring, oversikt, sikkerhetstiltak og risikovurdering på alle personopplysninger vi behandler. Sikkerhet handler ikke bare om rutiner, kontroll og teknologi, men også om mennesker. Sikkerhet påvirkes av bedriftens kultur. Her har både ledere og øvrige medarbeidere et viktig ansvar. VI må sørge for at alle kunder, samarbeidspartnere og ansatte er sikre på at deres personopplysninger er i trygge hender.

    CRM-systemer
    De fleste bedrifter benytter seg av et system som lagrer navn på kundene, ofte CRM-systemer. Her lagres også navn på kontaktpersoner, e-post og telefonnummer, samt kjøpshistorikk. Dette er ikke sensitive opplysninger, men likevel opplysninger dine kunder ikke er interessert i at kommer på avveie. Derfor er det viktig med sterke passord, god opplæring i bruk av systemet samt avgrensninger når blant annet arbeidsforhold opphører.

    Mange CRM-system har mange forskjellige felt for ulike personlige opplysninger. En del av dette er sensitive opplysninger, som religion, politisk oppfatning, fagforeningsmedlemskap og helse. Det er sjeldent at dette er opplysninger vi trenger, og om vi skulle trenge det, stilles det da strengere krav til sikkerhet i systemet for å beskytte kundene. For å sikre at vi følger den nye personvernlovgivningen kan løsningen være å deaktivere feltene med disse opplysningene, eventuelt ha klare instrukser i opplæring om at dette ikke skal fylles inn.

    Åpne felt på kundekort ment for tilleggsopplysninger bør og behandles med forsiktighet. La oss si at du har et dårlig forhold til en kontaktperson i en bedrift og fyller inn opplysninger som kan knyttes direkte til personen. Dette kan oppleves som krenkende for personen det gjelder, og er opplysninger vi ikke vil ha på avveie.

    HR-systemer
    Personopplysninger i et HR-system er sensitive, enten du bruker programvare eller lagrer opplysninger på ulike dokumenter digitalt eller på papir. Her kreves det strenge tiltak internt for å sikre personvernet til den enkelte.
    Her lagres opplysninger fra medarbeidersamtaler, eventuelle advarsler, sykemeldinger og andre sensitive opplysninger, og tilgangsstyring er essensielt. Alle i bedriften kan naturlig nok ikke ha tilgang, noe de aller fleste er bevisste på. Men er vi like sikre på hva vi gjør når den ansatte slutter? Første tiltak kan være å begrense tilgang ytterligere, som at kun øverste leder har tilgang. Mange av opplysningene bør slettes etter avsluttet arbeidsforhold. Da du ikke vil ha behov for dem etter at arbeidsforholdet er avsluttet og de nye reglene sier at du ikke skal lagre data lengre enn hva som er nødvendig.

    Regnskapssystemer
    Regnskapsloven krever at du skal lagre regnskapstall i flere år. Den nye personvernloven overprøver ikke dette, men sier noe om hvordan du skal sikre dine data. Her gjelder mye av det samme som ved HR systemer; Tilgangsstyring og gode rutiner.

    SaaS (Software as a service)
    Sky tjenester er det stadig flere som benytter seg av. Data som lagres i denne typen tjenester har vi mindre kontroll over, men fortsatt ansvaret for. Din bedrifts data som andre forvalter på oppdrag fra deg. Det er ditt ansvar å sikre at leverandørene av SaaS-løsningen behandler data i henhold til personvernlovgivingen, noe du gjør gjennom en databehandleravtale.
    Alle bedrifter behandler personopplysninger i større eller mindre grad. Sensitiviteten av opplysningene varierer. Men om du så kun har en ansatt behandler du personopplysninger.
    Vil det ta mye av tiden din å sikre at de nye reglene følges? Nei. Men det krever at du har kontroll på opplysningene og kjenner reglene, uavhengig av om du håndterer en liten bedrift eller et selskap som behandler store mengder personopplysninger for mange.

    Neste uke tar vi for oss hva du som leder og ansvarlig må gjøre for å være klar for den nye personvernlovgivingen.