Som du kanskje har hørt, kommer det nye regler for personvern 25. mai 2018 som vil gjelde hele EU/EØS. Disse omtales som GDPR som står for General Data Protection Regulation. Formålet med de nye reglene er å styrke personvernet for alle borgere i EU/EØS-området.


Dette dreier seg i hovedtrekk om innstramminger hva gjelder innsamling av personopplysninger, samt bruk og oppbevaring av personopplysninger.
Det ser ut til at gjennomføringen av reglene kan bli noe forsinket i Norge, med antatt tid for gjennomføring juli 2018. Dette skyldes den formelle prosessen forordningen skal gjennomgå i EØS-samarbeidet. Det oppfordres likevel til å jobbe mot den opprinnelige fristen for gjennomføring 25. mai 2018, da vil reglene tre i kraft i EU. 

Gjelder dette alle?
De nye reglene vil gjelde for alle virksomheter som har ansatte, kunder eller på andre måter registrerer informasjon om enkeltpersoner. En personopplysning er enhver opplysning som er identifiserende for en enkeltperson. Dersom en opplysning alene ikke kan identifisere et individ, er dette ikke en personopplysning. F.eks. er ikke en adresse en personopplysning, men hvis et navn står sammen med en adresse, vil både navnet og adressen være personopplysninger.

Etter regelverket vil dere som foretak være å regne som behandlingsansvarlige for alle personopplysninger dere behandler og bestemmer formålet med. Dette gjelder for eksempel der dere benytter et program fra Holte til å legge inn personopplysninger. Hvis dere f.eks har HoltePortalen, vil vi i Holte være deres databehandler.

Hva er nytt?
De største endringene er at de nye reglene åpner for at Datatilsynet kan straffe foretak med høye bøter dersom regelverket ikke etterleves. Det vil være en frist på 72 t til å varsle Datatilsynet dersom dere som behandlingsansvarlige opplever sikkerhetsbrudd.

I tillegg har de registrertes rettigheter blitt sterkere og behandlingsansvarlige og databehandlere har fått flere plikter.

Hva bør Holtes kunder gjøre?
Det blir ikke ulovlig å behandle personopplysninger, og i realiteten er det ikke store endringer i regelverket i forhold til personopplysningsloven som vi allerede har i Norge. Men noe er nytt og konsekvensen av å ikke etterleve loven har blitt større. Derfor anbefaler vi alle våre kunder å starte nå.

Her er vår huskeliste:

  • Kartlegg de personopplysninger som behandles i foretaket.
  • Vurder om opplysningene behandles etter et lovlig grunnlag. Her er det flere grunnlag som åpner for behandling av personopplysninger; eks. avtale, samtykke, lovkrav, interesseavveiing mv.
  • Finn ut hvilke databehandlere som benyttes, og sørg for at databehandleravtale er eller blir inngått.
  • Gjennomgå rutiner og påse at disse er dekkende for hvordan personopplysninger skal behandles.
  • Foreta en risikovurdering for personopplysninger.

Vi vil sende ut vår databehandleravtale før de nye reglene trer i kraft. Datatilsynet har mye nyttig informasjon på sine nettsider.

Les også: Holtes personvernarbeid