• Handlekurv

  • Min side

Er du i rute med GDPR?

    Nye regler for personvern, GDPR (General Data Protection Regulation), trer i kraft 25. mai 2018. Det betyr at de fleste bedrifter må tilpasse måten de samler inn, bruker, håndhever og lagrer persondata på.

    De nye personvernreglene gjelder i hele EU og EØS-området, og skal gi privatpersoner bedre vern av egne personopplysninger og dermed større grad av beskyttelse overfor virksomheter som bruker persondata for å selge varer og tjenester.

      Hva blir nytt med GDPR?

      Hovedformålet med forordningen er å styrke og ensrette databeskyttelsen for enkeltindivider i hele området. Den er ikke ment å gjøre det vanskeligere for bedrifter å drive sin forretning. Meningen er å gjøre bedriftene mer bevisste på det å skape større åpenhet om måten de lagrer og bruker personopplysninger på i forhold til potensielle kunder, nåværende kunder, underleverandører eller ansatte. Nærmest all informasjon lagres digitalt i dag og folk flest vet ikke hva som skjer med deres personlige data på nett. Forordningen gjør at det nå vil hvile et større ansvar på bedriftene til å behandle disse opplysningene på en trygg måte.

      «GDPR er noe som angår oss alle, i alle ledd av organisasjonen og som ansatte. Det er viktig og nødvendig at opplysninger vi mottar blir brukt, oppbevart og slettet i henhold til det nye regelverket.»

      (Marianne Brinch van Meenen, leder juridisk, ansvar og personskade i Codan Forsikring)

        Hvilke personopplysninger omfattes?

        Personopplysninger i lys av GDPR-forordningen er all informasjon som kan knyttes til en person. Eksempelvis personens navn, bilde, e-postadresse, forsikringsopplysninger, innlegg i sosiale medier, helseinformasjon eller IP-adressen til datamaskinen.

        Også B2B-markedet omfattes av forordningen. Her er det også enkeltpersoner som blir berørt, siden det er gjennom relasjoner i dette markedet avtaler blir inngått og informasjon blir delt.

          Mange er i villrede

          I en undersøkelse blant toppledere i hundre norske bedrifter med 250 eller flere ansatte, viser tall at over 50 % ikke er sikre på om GDPR angår deres virksomhet. Undersøkelsen, som er gjennomført av NTT Security i august i år, tyder på at bedriftene ikke kjenner godt nok til verken de gamle eller de nye reglene for personvern. I tillegg er 34 % av lederne ikke sikre på hvor bedriften lagrer sine data og 40 % kan ikke bekrefte at deres mest kritiske data, som kredittkortinformasjon, hjemadresser, IP-adresser og personnumre, er helt trygge. Konklusjonen er at det begynner å haste å få kontroll på dette. Overholder man ikke GDPR, kan man risikere bøter opp til 4 % av årlig global omsetning eller 20 millioner euro, avhengig av hvilket alternativ som utgjør den høyeste summen.

          «En ting er det høye bøtenivået som innføres, men dette handler til syvende og sist om at våre kunder skal kunne stole på at vi følger regelverket til punkt og prikke.»

          (Marianne Brinch van Meenen, leder juridisk, ansvar og personskade i Codan Forsikring)

            GDPR gir kunden flere rettigheter

            Tiden går fort og du må ha en plan klar før mai 2018, som sikrer at dine kunder:

            • selv kan bestemme om de ønsker å gi bedriften samtykke til å behandle personopplysningene sine
            • kan kreve tilgang til sine personopplysninger og få vite hvordan de brukes
            • kan få informasjonen slettet eller endret om den er feilaktig eller utdatert
            • kan få overført opplysninger fra en leverandør til en annen i et lesbart format
            • kan motsette seg at personopplysningene brukes i direkte markedsføring
            • skal bli varslet ved datainnbrudd som kan få følger for opplysninger som er lagret

              Hvilke tiltak må bedriften gjøre for å komme i mål?

              For det første handler det om å ikke utsette arbeidet med å tilpasse seg regelverket. Derfor er det viktig å gå gjennom egne systemer og rutiner, slik at du vet omfanget av jobben som må gjøres og hvilke tiltak du må iverksette.

              Du må ved gjennomgangen skaffe deg en oversikt over dette:

              • Hvilke personopplysninger du har lagret, hvor de kommer fra, hva de brukes til, hvem som har tilgang til dem og om det innebærer noen risiko med tanke på deling e.l.?
              • Hvilke personopplysninger du trenger og hvilke du skal slette. Du må sikre at du har et saklig og nødvendig formål med innsamlingen av data for å kunne fortsette med det når GDPR trer i kraft.
              • Hvilke sikkerhetstiltak du må innføre for bl.a. å forhindre datainnbrudd og hvilke rutiner må du få på plass for å kunne varsle kunder og myndigheter ved et innbrudd. Vær klar over at outsourcing av oppgaver ikke fritar deg fra ansvaret.
              • Har du aktivt samtykke fra kundene dine slik at du kan oppbevare opplysninger de gir deg, når de kjøper dine produkter eller tjenester? Se gjennom dokumentasjonen din og justér om nødvendig.
              • Har du etablerte retningslinjer og prosedyrer for håndtering av personopplysningene? Dette handler om hvordan et samtykke må gis, hvordan personopplysninger flyttes, om bekreftelse er gitt til rett person, hvordan oppbevaring og sletting av opplysningene må gjøres på alle plattformer og hvordan du varsler ved et eventuelt datainnbrudd.

              «Våre kunder skal alltid kunne stole på at vi tar vare på og sletter de opplysninger vi mottar på den måten som forventes av oss som en profesjonell og moderne aktør i det norske forsikringsmarkedet.»

              (Marianne Brinch van Meenen, leder juridisk, ansvar og personskade i Codan Forsikring)

                Hvordan løse ulike markedsføringstiltak?

                Nyhetsbrev

                Skal du sende nyhetsbrev må du kunne dokumentere at aktivt samtykke er mottatt fra personen du skal sende til – det holder ikke lenger med en allerede avhuket boks. I tillegg må personen aktivt krysse av for å godkjenne at persondata kan lagres.

                Prospectlister

                Kjøper du markedsføringslister fra en leverandør er du selv ansvarlig for at samtykkeinformasjonen er riktig.

                Kundeleads fra messer og seminarer:

                Mottar du et visittkort fra en potensiell kunde må personen skriftlig godkjenne at kontaktinformasjonen kan registreres i bedriftens e-postliste før du foretar en registrering.

                  Aktuell forsikring

                  Kun to prosent av norske selskaper har en forsikring mot datakriminalitet som dekker datainnbrudd, misbruk av data, eller at verdifull informasjon blir borte på PC-er, telefoner og nettbrett.