GDPR-sjekkliste

GDPR-overview-1024x637

Hva din bedrift må ha kontroll på!

«Forordningen fører med seg fire nye rettigheter for EU-borgere – og nordmenn: Rettigheten til å få behandlingen begrenset, retten til dataportabilitet, retten til å motsette seg en behandling, og rettigheter til å motsette deg profilering og automatiserte avgjørelser.» (Datatilsynet 18.02.2016).

Før personvernloven trådde i kraft var det anbefalt at  alle bedrifter hadde gjort følgende:

  1. Alle skal ha en tilgjengelig og forståelig personvernerklæring på sitt nettsted.
    Denne skal inneholde informasjon om hvordan din virksomhet behandler personopplysninger, samt til hvilket formål. Hva ber du om, hvorfor ber du om det og hva skal det du ber om brukes til?
  2. Kunders personopplysninger kan ikke brukes til nye uforenlige formål.
    Dersom du ønsker å behandle personopplysninger til andre formål enn det først var ment for, må nytt samtykke innhentes.
  3. Sørget for at alle systemer har personvern som standardinnstilling.
    Gjør forsøk på kundereiser og sikre god informasjonsflyt og sikkerhet i alle stegene kunden foretar seg.
  4. Sørget for at databehandleren har gode rutiner og leverer trygge og brukervennlige løsninger.
    Databehandlere er virksomheter som behandler personopplysninger som en tredjepart. Ofte er det snakk om leverandører av IT-tjenester.
  5. Flytting av persondata må skje i sikre prosesser.
    Glem oppbevaring av personopplysninger i regneark, eller å laste opp fullstendige kundelister til for eksempel Facebook.
  6. Foretatt en Data Protection Impact Assessment (DPIA) som er en risikovurdering av personvernkonsekvenser.
    Hva gjøres dersom kundeopplysninger kommer på avveie?
  7. Utpeke en person som er personvernombud i bedriften, med ansvaret for at alle prosessene er sikre og blir fulgt.
    Dersom det skjer et avvik bør man ha en som analyserer, melder fra til Datatilsynet og berørte, samt sørger for å bidra i opprydningen.
  8. Dokumentert at det sørges for informasjonssikkerhet i alle prosesser.
    Intern opplæring, klare ansvarsområder, rutinebeskrivelser, databehandleravtale med tjenesteleverandør, og en behandlingsansvarlig.

Les mer om GDPR

 
Ønsker du hjelp med å få på plass GDPR-dokumentasjon