Den 25. mai 2018 vil det komme nye lover rundt databeskyttelse for å gjøre dette likt i alle EU-land. Personvernforordningen (GDPR) gjelder alle bedrifter – fra store selskaper og offentlige autoriteter til små og mellomstore bedrifter.
Hva er personvernforordningen?
Personvernforordningen er den nye loven som bestemmer hvordan bedrifter beskytter personlige data om alle EU-borgere. Hovedformålet er å skape en ensartet måte å tilnærme oss datasikkerhet på i hele EU, og forordningen vil erstatte personverndirektivet 95/94/EF.
Hvordan vil personvernforordningen påvirke min bedrift?
Bedrifter vil bli nødt til å være strengere på hvordan de lagrer personlig og sensitiv informasjon. Det vil være større konsekvenser og potensielt større bøter for brudd på de nye lovene.
Det er et behov for åpenhet om hvordan man samler data om enkeltpersoner, og det er viktig at bedrifter det tydeliggjør hvordan de vil bruke disse dataene. I tillegg må enkeltpersoner bli gjort oppmerksom på rettighetene sine til å takke nei til å ha data om seg lagret i bedriften din. Det nye direktivet «retten til å bli glemt» betyr at en person kan kreve at du sletter alle personlige data du har lagret om dem. Direktivet «retten til å protestere» betyr at en person kan nekte tillatelse til å bli profilert. Dette inkluderer profilering for direkte markedsføring.
Bedrifter må ta forhåndsregler når det gjelder sikkerheten til dataene de lagrer, både fysisk og elektronisk. Ethvert brudd på disse forskriftene må håndteres raskt, og det er hver enkelt bedrifts ansvar å bruke denne tiden før loven iverksettes til å vurdere gjeldende sikkerhetsprosessene.
Hvorfor personvernfordringen er viktig
Enhver bedrift som allerede følger personverndirektivet, må nå sørge for at de jobber i tråd med personvernfordringen og alle endringene i den. Hvis bedriften din ikke retter seg etter kravene og forskriftene i personvernfordringen, eller du har blitt tatt i å bryte disse, kan dette føre til at du blir bøtelagt.
Dette gjelder alle EU-land, og det vil fjerne behovet for at hvert land skriver sine egne personvernlover. Noen bedrifter vil til og med måtte ansette en personvernansvarlig som sørger for implementering og etterlevelse av personvernfordringen.
Før disse lovene iverksettes, er det på tide å se hvordan du ligger an, og hvilke endringer du bør gjøre for å kunne følge disse.
Hva bør jeg tenke på før personvernfordringen iverksettes?
Brudd på personvern i bedrifter skjer ofte på grunn av at individer ikke følger reglene, ikke på grunn av skadelige cyberangrep. Derfor er det viktig at du reduserer risikoen på så mange måter som mulig. Dette er ting du bør vurdere:
- Opprett en risikovurderingsplan
Å identifisere potensiell risiko og bekjempe svakheter i de nåværende sikkerhetsprosessene dine er viktig for at bedriften din skal kunne rette seg etter de nye standardene. Det er også verdt å opprette en tidslinje mot resultatene du fikk fra riskoanalysen, slik at du kan se hvilke handlinger som bør utføres og når, og også planlegge ut fra hvilke av disse vil ta lengst tid. Dette kan også være nyttig når det gjelder å delegere ansvarsområder i bedriften, slik at alle er klar over hva de må gjøre for å rette seg etter de nye standardene.
- Makuler alle unødvendige kopier
Hvis du bruker mye papirdokumentasjon eller du må skrive ut et konfidensielt dokument som du ikke trenger senere, er det viktig å eie en makuleringsmaskin for å tilintetgjøre disse. Det er viktig at du ikke legger igjen sensitiv informasjon der ikke-autoriserte personer kan finne den. Konsekvensene av å lekke konfidensiell informasjon kan være svært ødeleggende for en bedrift og vil i tillegg være et brudd på personvernloven om informasjonen er personale- eller kundespesifikk.
Krysskuttende eller konfettikuttende makuleringsmaskiner kutter opp dokumentene i bittesmå biter, som gjør dem mye vanskeligere å sette sammen igjen. Hva som er den beste makuleringsmaskinen for deg, kommer an på bedriften din.
- Sørg for at alle papirer er private
Beskyttelse av private data er viktig for dem som vil sørge for at de er i samsvar med personvernfordringen. Hvis du må ha fysiske kopier for referanse, må du være ekstra forsiktig med måten du oppbevarer dem på. Et arkivskap eller en skuff som kan låses, kan være svært nyttig. Med dagens avanserte teknologi hender det ofte at folk overser hvor viktig det er å låse inne fysiske dokumenter. Oppbevaringsløsninger som kan låses, er minst like viktige som før og er en god måte å begrense tilgang til konfidensielle dokumenter på.
- Ikke vær slurvete med å beskytte passord
Når det gjelder personvern, kan folk ofte glemme hvor viktig det er å ha et sikkert passord som er vanskelig å gjette. Automatiske varsler på datamaskinen etter et angitt antall dager kan minne ansatte på å endre passord regelmessig. Du kan også angi parametere for å sikre at passordene inneholder store bokstaver, tall og symboler, slik at de er komplekse nok til å beskytte data.
- Tilgangsnivåer
Det er ikke vanlig at nyansatte har samme tilgangsnivå som noen med lederstilling har. På samme måte vil de som er ansvarlig for personvern ha andre krav til tilgang enn vanlige kontoransatte. For bedrifter som bruker frilansere eller deltidsansatte, kan dette utgjøre en potensiell risiko, og disse bedriftene vil ha andre behov når det gjelder skreddersydde tilgangsnivåer. Ved å sette grenser for hvem som har tilgang til hva, kan du redusere datasikkerhetsbrudd og behovet for beskyttelse av sensitiv informasjon.
- Er antivirusprogramvaren din god nok?
Det er helt grunnleggende å beskytte bedriften din mot nettrusler ved å bruke en god antivirusprogramvare. Med en økning i cyberangrep og kompleksiteten til virus som kan infiltrere bedriften din, er dette noe du virkelig bør sette deg inn i. Spør deg selv: har du oppdatert antivirusprogramvaren din i det siste? Holder den for en bedrift på størrelse med din? Du bør ta deg tid til å vurdere programmet du bruker, og om det er tilstrekkelig for å oppfylle personvernfordringen.
- Ta en vårrengjøring av kontoret og datafilene dine
Sett av tid til å sørge for at all informasjon du har, er riktig, oppdatert og fortsatt er gjeldende. Dette er et av kravene i personvernfordringen. Du må også respektere andre personers rettigheter ifølge personvernfordringen. Hvis de ikke ønsker å lagre personlig data, er dette deres rett ifølge loven, og dette må du sørge for at de er fullt klar over. Sjekk regelmessig at alle følger forskriftene, og gå gjennom datafiler og mapper for å sørge for at alle dokumenter er på plass, slik at du lett kan følge med på om noe ikke samsvarer med den nye loven, eller om noe mangler.
- Ha en plan klar ved regelbrudd
Det forventes at bedrifter reagerer raskt på regelbrudd og rapporterer disse til myndighetene innen 72 timer. Du må også forklare hvordan du har håndtert regelbruddet og hvilke tiltak du har satt i verk for å rette opp eventuelle feil og konsekvenser. Har du en plan klar og kan reagere umiddelbart, kan dette hjelpe deg å spare tid og redusere konsekvensene et regelbrudd kan ha på bedriften og personer som er involvert.
Det er viktig at bedriften din er oppdatert når det gjelder endringer i personvern og implementeringen av personvernforordningen. Det er hver enkelt medarbeiders ansvar å følge forordningen, og derfor må du sørge for at informasjonen og planen når ut til alle i bedriften. Nedtellingen har begynt, så første steg mot etterlevelse av personvernfordringen er å ta en vurdering av nåværende personverntiltak.
