Enhver bedrift må vurdere hvilke opplysninger som faktisk behøves for å oppfylle det gitte formålet - denne vurderingen må i tillegg være dokumentert. Men hva innebærer egentlig vurdering og dokumentering, og hva betyr det for din bedrift i praksis?
Vi gir deg en forklaring her:
Vurdere
Grunnleggende prinsipper i GDPR er dataminimering og formålsbegrensning. For en virksomhet er det derfor viktig å vurdere hvilke data de strengt tatt trenger for de enkelte formålene. Altså, hvilke opplysninger dere behandler og hva formålet bak behandlingen er. Disse refleksjonene må dokumenteres. Det skal i tillegg gjøres vurderinger rundt personvernkonsekvenser og risiko.
Se vår video som forklarer GDPR på tre minutter.
Personvernkonsekvenser
I Datatilsynet sin veileder: Vurdering av personvernkonsekvenser skriver de: En vurdering av personvernkonsekvenser (Data Protection Impact Assessment - DPIA) skal sikre at personvernet til de som er registrert i løsningen ivaretas. Dette er en plikt etter det nye personvernregelverket. Hva dette betyr er at virksomheten må vurdere hvilken betydning behandling, eller feilaktig behandling, av personopplysninger kan ha for hver enkeltperson. De fleste risiko og konsekvensanalyser handler om betydning for virksomheten, men her må man sette enkeltpersonen i sentrum når man vurderer.
Videre i veilederen nevner også Datatilsynet at vurdering av personvernkonsekvenser er et viktig verktøy for ansvarlighet, ettersom det ikke bare hjelper den behandlingsansvarlige med å sikre samsvar med kravene i forordningen, men også med å dokumentere at det er gjort tilstrekkelige tiltak for å sikre at regelverket overholdes. En vurdering av personvernkonsekvensene vil derfor være en prosess som skal bidra til etterlevelsen av GDPR.
Finner du en del vanskelige ord og begreper i veilederen til Datatilsynet? Frykt ikke, les vår ordliste her.
Risikovurdering
Datatilsynet har i tillegg en mal for risikovurdering. Denne kan du finne her. Risikovurderingen har som formål å avklare om de eksisterende sikkerhetstiltakene dere har i bedriften er tilfredsstillende. I malen finner du blant annet en mal for rutinebeskrivelse, som vil være relevant for deg som sitter med ansvaret for vurdering:
- Hvorfor skal rutinen utarbeides, hva er hensikten med den?
- Hvem er ansvarlig for å utføre de ulike aktivitetene?
- Hva skal utføres av de ulike ansvarlige?
- Hvordan skal aktivitetene utføres?
- Når skal de ulike aktivitetene utføres, eller under hvilke betingelser?
- Hva er forventet resultat ved utførelse av rutinen?
Videre i malen finner du to skjemaer du kan fylle ut:
Overordnet vurdering av beskyttelsesbehov
Her tar du rett og slett en overordnet vurdering av hvilke beskyttelsesbehov som er nødvendig etter hvilke systemer dere bruker, og hvilke potensielle konsekvenser som kan ligge i disse systemene. Systemer der katastrofale hendelser kan inntreffe vil ha behov for en bedre beskyttelse, enn systemer der slike hendelser ikke kan inntreffe. Er systemet dere bruker i din bedrift sikkert når det kommer til behandling av personopplysninger?
Hendelsesvurdering
Her starter du med å angi hvilke sikkerhetsaspekter som er relevant for en hendelse. Deretter gis en vurdering av mulige konsekvenser, hva sannsynligheten for at hendelsen inntreffer og hvilken risiko hendelsen fører med seg. Til slutt tas det en vurdering av om risikoen er akseptabel eller ikke.
Last ned hele malen for risikovurdering fra Datatilsynet her.
Dokumentasjon
Din bedrift skal kunne dokumentere og demonstrere at de personopplysningene dere behandler skjer i tråd med personvernprinsippene. Dette kan gjøres ved å opprette en internkontroll som sørger for at tiltak samsvarer med regelverket når det kommer til behandling av personopplysninger. Datatilsynet har en veileder for god internkontroll og informasjonssikkerhet. Den finner du her. Veilederen tar for seg hvordan en god internkontroll og god informasjonssikkerhet kan sikre at din bedrift behandler personopplysninger lovlig, sikkert og forsvarlig. Videre gir den også en innføring i hva internkontroll handler om, og hvordan du kan etablere og følge den opp.
Les også: Har du fått GDPR i fanget?
Hva betyr dette i praksis?
GDPR krever altså en hel del vurderinger som skal tas. Det er også viktig at alt arbeid dere gjør rundt personopplysninger dokumenteres. Hvilke rutiner har dere for internkontroll i deres bedrift? Som du kanskje forstår så vil all vurderingen som tas og all dokumentasjonen som gjøres i forbindelse med GDPR kreve at du har tunga rett i munnen. Det vil derfor være en stor fordel dersom du har et GDPR-verktøy som hjelper deg med å fortløpende etterleve GDPR-kravene uten å skape masse ekstraarbeid.
