FAQ 2017-06-21T09:22:01+00:00

Personvern

Ta kontakt for å få oppdatert din databehandler-avtale.

+47 31 90 10 80

Multihost IT AS har utviklet løsninger som tilfredsstiller kravene og vil sikre at både databehandler og behandlingsansvarlige kan tilfredsstille GDPR.

(En databehandler er en virksomhet som behandler personopplysninger på vegne av en annen virksomhet, den såkalt behandlingsansvarlige. I dag følger den behandlingsansvarliges plikter av loven, mens databehandlerens plikter følger av en databehandler avtale mellom den behandlingsansvarlige og databehandleren.)


Hva er GDPR?

25.mai 2018 kommer ny forordning om personvern innen EU og EØS. Denne vil baseres å gjeldende regler men det vil også komme endringer og nye regler som påvirker alle som er berørt av personvern.

Hva betyr dette for den enkelte virksomhet:

  • Som arbeidsgiver må en vite hva som er sensitive personopplysninger som må deles og oppbevares på godkjent måte.
  • Når det registreres personopplysninger skal dette informeres til vedkommende på en kortfattet, lett og forståelig måte. Det skal informeres om:
    • Hvem som registrerer opplysninger, formål med registreringen og hvor lenge opplysningen lagres.
    • Hvor opplysningene er lagret og hvem de utleveres til, samt om klagerett til datatilsynet, rett til innsyn, retting og sletting.

Kravene til den enkelte virksomhets plikt til å dokumentere og etterleve disse vil forsterkes betydelig noe som understrekes av potensielle bøter i størrelsesorden 2-4% av årsomsetningen.



Noen fokusområder for datasikkerhet:

Rett til å bli glemt.

Hver enkelt person har rett til å kreve sletting av sine data.

Det finnes allikevel data som ikke vil kunne slettes som for eksempel avtaler, fakturering, rettslig nødvendig informasjon.


Anonymisering.

Det kan også kreves at personer anonymiseres hvor dataene brukes men ikke kan direkte kobles mot person.


Dataportabilitet.

Hver enkelt person kan kreve innsyn i hvordan deres data behandles.

En har også rett til å kreve overføring av egne data til andre tjenesteleverandører. Disse må mao være mulige å overføre i et hensiktsmessig format.


Informasjon ved sikkerhetsbrudd.

Hvor det er skjedd sikkerhetsbrudd skal personer som har blitt påvirket av dette informeres. Dette skal også meldes til nasjonale myndigheter.

Personer har rett til informasjon om sikkerhetsbrudd relatert til sine data. Dette skal også meldes til de nasjonale myndighetene.


Sensitive persondata.

Virksomhetene må ha rutiner for å sikre sensitive persondata. Forordningen krever også dokumentasjon av disse rutinene. Sensitive persondata kan være informasjon som inneholder HR data, personnummer, kredittkortnummer, helseopplysninger, kundesensitiv informasjon, biometri etc.



Eksempel på deling av personopplysninger:

Det er ikke lov å sende sensitive personopplysninger på e-post som ikke er kryptert (passordbeskyttet).

Dersom en sender en lønnslipp til en ansatt via ukryptert epost som inneholder fagforeningstrekk eller trekk i lønn som følge av straffbare handlinger, vil dette være i strid med loven.

Personopplysninger skal heller ikke lagres lenger enn det som er nødvendig for å “tjene formålet”. Dette betyr at arbeidsgiver må ha rutiner for å gjennomgå hva som lagres.

I tillegg må en sørge for at opplysningene er lagret på en måte som tilfredsstiller Personopplysningsloven. En kan likevel være pliktig til å lagre opplysninger på bakgrunn av Bokføringsloven eller Arkivloven