Kontakt oss

Er du klar for GDPR? Slik takler du de nye reglene

Bedrifter har alltid vært forpliktet til å beskytte kunde- og personalopplysninger, og den 25. mai 2018 erstatter den nye databeskyttelses forordningen General Data Protection Regulation (GDPR) EUs direktiv for datasikkerhet fra 1995. Enkelte juridiske ansvarsforhold påvirkes av dette, og nedenfor går vi gjennom det du trenger å vite.

Hva er GDPR?

Hensikten med EUs nye databeskyttelses forordning GDPR er å beskytte personopplysninger og holde regelverket oppdatert slik at det omfatter aktuelle og hittil uforutsette måter å samle inn, lagre og bruke data på.

Mengden med data som bedriftene lagrer i dag, er ufattelig mye større enn i 1995. Søkemotorer som Google, sosiale nettverk som Facebook og digitale markedsføringsverktøy som Salesforce eksisterte ikke i 1995. De store datamengdene som disse teknologiene genererer, har ikke vært regulert på en tilfredsstillende måte i henhold til eksisterende regelverk, og det er grunnen til at GDPR er utformet for å fastsette relevante regler for den moderne, digitale verden.

Behandling av personopplysninger er hovedhensikten med GDPR. Nesten alt som kan gjøres med personopplysninger, kan klassifiseres som «behandling», for eksempel hvis du ber om en kundes e-postadresse, lagrer e-postadresser i en database eller skriver ut en liste med kundenavn. Også nettidentifikatorer som IP-adresser er nå å anse som personopplysninger.

I henhold til GDPR kan du som privatperson be om en kopi av alle opplysninger som en bedrift har lagret om deg, og ingen data kan i henhold til loven behandles uten din tillatelse. Hensikten er å verne om rettighetene dine i egenskap av «datasubjekt» og gi deg større innflytelse over bedriftenes håndtering av personopplysningene dine.

GDPR gir anledning til å utstede høyere straffegebyrer ved brudd på disse bestemmelsene. Hvis bestemmelsene ikke blir fulgt, kan følgene bli bøter på 20 millioner euro eller 4 % av bedriftens årsomsetning – et reelt incitament for bedriftene til å ta databeskyttelse på alvor.

De nye bestemmelsene medfører at personopplysningsloven blir identisk i hele EU/EØS, noe som fører til et enklere system, spesielt for multinasjonale bedrifter.

Hva GDPR innebærer for små og mellomstore bedrifter

Små og mellomstore bedrifter må følge bestemmelsene fullt ut, akkurat som med ratifiserte lokale versjoner av EUs direktiv for datasikkerhet.

I henhold til databeskyttelses forordningen må organisasjonen ha en effektiv, dokumentert, sporbar prosess for innsamling, lagring og makulering av personopplysninger. Kort sagt må du vite hvor alle dataene befinner seg og at de er trygge.

GDPR fokuserer hovedsakelig på nettdata, men bestemmelsene gjelder også fysisk lagrede data. Det betyr at bedriftene må være forsiktige med informasjon som skrives ut, kopieres, skannes og lagres på papir. En fornuftig måte å håndtere dette på er å være forsiktig med all informasjon som behandles på kontorets skrivere og multifunksjonssystemer.

Før du begynner å endre rutiner, er det klokt å undersøke hvordan bedriften følger dagens eksisterende EU-direktiv for datasikkerhet, og deretter finne ut hvilke ytterligere tiltak som kreves for å følge GDPR.

Utnevn en ansvarlig for databeskyttelsesspørsmål

Dere bør bestemme dere for hvor i organisasjonen ansvaret skal legges. Hvis det kreves i henhold til databeskyttelses forordningen, må det utnevnes et databeskyttelsesombud.

I henhold til databeskyttelses forordningen og all lovstiftning angående beskyttelse av personopplysninger, er det viktige forskjeller mellom enkeltpersoners og bedrifters ansvarsområder, avhengig av hvordan data håndteres.

Databeskyttelsesombud er en person eller en bedrift som tar beslutninger angående behandling av persondata, det vil si den fysiske eller juridiske personen i organisasjonen som alene eller i samarbeid med en annen part bestemmer hensikt og metode for behandling av personopplysninger.

Utskrift, skanning, kopiering, arbeidsflyter og dokumenthåndtering er kanskje ikke det første man tenker på når det gjelder databeskyttelses forordningen, men disse aktivitetene utgjør «behandling» og er derfor underlagt databeskyttelses forordningen akkurat som alle andre typer databehandling.

Sikkerhet og GDPR

Alle bedrifter som registrerer personopplysninger, både persondataansvarlig og persondataassistenter, må iverksette tilstrekkelige sikkerhetstiltak. Bortsett fra den generelle databeskyttelses forordningen er deg også nødvendig at du har innført dekkende og tilstrekkelige rutiner for sikkerhet og sikkerhetskopiering som beskyttelse mot nettangrep og inntrenging, som utgjør en stadig større risiko for alle bedrifter.

Papirdokumenter, for eksempel en utskrift som blir liggende igjen i mottaksbrettet på skriveren, kan anses som et brudd på personopplysningsloven, akkurat som usikrede papiravfallskasser. Det kan finnes digitale kopier av informasjon som du kanskje ikke tenker på. Et nettverkstilkoblet multifunksjonssystem kan utgjøre en slik risiko.

Skrivere kan være et mål for inntrengere som vil stjele dokumenter eller bruke en nettverkstilkoblet skriver som plattform for inntrenging i andre systemer.

Et multifunksjonssystem er i seg selv vanligvis en fullstendig nettverksdatamaskin med et operativsystem (Unix, Linux, Microsoft Windows osv.) og standardfunksjoner for nettverkskommunikasjon. Det er ikke alle nettverksadministratorer som tenker på dette – men det gjør alle inntrengere.

Akkurat som alle tilkoblede enheter og tilhørende infrastruktur utgjør multifunksjonssystemer og skrivere en potensiell «inngang» for inntrengere. Derfor må alle disse sikkerhetsbruddene tas på største alvor ved planlegging og analyse som skal sikre overholdelse av den generelle databeskyttelses forordningen.

Med usikrede skrivere risikerer man at data kan bli misbrukt eller slettet, for eksempel ved at inntrengere kopierer dokumenter fra harddisken på maskinen eller «tyvlytter» på utskriftstrafikk på nettverket som ofte er ubeskyttet. Dette gjør det mulig for nettkriminelle å bruke systemet som plattform for inntrenging på andre systemer. Skrivere kan for eksempel brukes ved overbelastningsangrep (DoS).

Hvordan Sharps løsninger kan forenkle innføringen av GDPR

Sharp kan tilby flere ulike sikkerhetsløsninger. Fra sikkerhetsfunksjoner som er innebygd i Sharps multifunksjonssystemer til databehandlingssløsinger for sikre utskrifter, en skybasert tjeneste for lagring og deling av filer og administrerte IT-tjenester inkludert datavern og beskyttet sikkerhetskopiering. Uansett hvor stor bedriften din er, kan vi hjelpe deg med å beskytte informasjonen.

Du finner mer informasjon, inkludert Sharps retningslinjer for sikkerhet, på nettsiden Informasjonsikkerhet

Kontakt

STEFAN LÖGDBERG
Nordic Commercial Director
stefan.logdberg@sharp.eu

Social