• Handlekurv

  • Min side

Dette bør du vite om GDPR

    GDPR gjelder nye regler for personvern. De tredde i kraft 25. mai 2018. Det betyr at de fleste bedrifter må tilpasse måten de samler inn, bruker og lagrer persondata på.

    Personvernreglene gjelder i hele EU og EØS-området. De nye reglene skal gi privatpersoner bedre vern av egne personopplysninger. Dette betyr større grad av beskyttelse overfor virksomheter som bruker persondata for å selge varer og tjenester.

      Hva er nytt med GDPR?

      Målet er å styrke og ensrette databeskyttelsen for enkeltindivider. Den er ikke ment å gjøre det vanskeligere for bedrifter å drive sin forretning. Bedrifter gjøres mer bevisste på å skape åpenhet om hvordan personopplysninger lagres og benyttes. Dette gjelder både kunder, underleverandører og ansatte. Nærmest all informasjon lagres digitalt i dag og folk flest vet ikke hva som skjer med deres personlige data på nett. Forordningen gjør at det nå hviler et større ansvar på bedriftene til å behandle disse opplysningene på en trygg måte.

      «GDPR er noe som angår oss alle, i alle ledd av organisasjonen og som ansatte. Det er viktig og nødvendig at opplysninger vi mottar blir brukt, oppbevart og slettet i henhold til det nye regelverket.»

      (Marianne Brinch van Meenen, leder juridisk, ansvar og personskade i Codan Forsikring)

        Hvilke personopplysninger omfattes?

        Personopplysninger i lys av GDPR-forordningen er all informasjon som kan knyttes til en person. Eksempelvis personens navn, bilde, e-postadresse, forsikringsopplysninger, innlegg i sosiale medier, helseinformasjon eller IP-adressen til datamaskinen.

        Også B2B-markedet omfattes av forordningen. Her er det også enkeltpersoner som blir berørt, siden det er gjennom relasjoner i dette markedet avtaler blir inngått og informasjon blir delt.

          Mange er i villrede

          En undersøkelse gjennomført av NTT Security blant hundre norske ledere viste at over halvparten mente at GDPR ikke angår deres virksomhet. Undersøkelsen i 2018 viste at bedriftene ikke kjente godt nok til de gamle eller de nye reglene for personvern. I tillegg var 34 % ikke sikre på hvor bedriften lagrer data. Hele 40 % kunne ikke bekrefte at kritiske data som kredittkortinformasjon, hjemadresser, IP-adresser og personnumre var trygge. Overholder man ikke GDPR risikerer man store bøter.p>

          «En ting er det høye bøtenivået som innføres, men dette handler til syvende og sist om at våre kunder. Vi skal kunne stole på at vi følger regelverket.»

          (Marianne Brinch van Meenen, leder juridisk, ansvar og personskade i Codan Forsikring)

            GDPR gir kunden flere rettigheter

            Tiden går fort og du må ha en plan klar før mai 2018, som sikrer at dine kunder:

            • selv kan bestemme om de ønsker å gi bedriften samtykke til å behandle personopplysningene sine
            • kan kreve tilgang til sine personopplysninger og få vite hvordan de brukes
            • kan få informasjonen slettet eller endret om den er feilaktig eller utdatert
            • kan få overført opplysninger fra en leverandør til en annen i et lesbart format
            • kan motsette seg at personopplysningene brukes i direkte markedsføring
            • skal bli varslet ved datainnbrudd som kan få følger for opplysninger som er lagret

              Hvilke tiltak må bedriften gjøre for å komme i mål?

              For det første handler det om å ikke utsette arbeidet med å tilpasse seg regelverket. Derfor er det viktig å gå gjennom egne systemer og rutiner, slik at du vet omfanget av jobben som må gjøres og hvilke tiltak du må iverksette.

              Du må ved gjennomgangen skaffe deg en oversikt over dette:

              • Hvilke personopplysninger du har lagret, hvor de kommer fra og hva de brukes til. Vit hvem som har tilgang og om det innebærer noen risiko med tanke på deling.
              • Hvilke personopplysninger du trenger og hvilke du skal slette. Du må sikre at du har et saklig og nødvendig formål med innsamlingen av data for å kunne fortsette med det når GDPR trer i kraft.
              • Hvilke sikkerhetstiltak du må innføre for bl.a. å forhindre datainnbrudd og hvilke rutiner må du få på plass for å kunne varsle kunder og myndigheter ved et innbrudd. Vær klar over at outsourcing av oppgaver ikke fritar deg fra ansvaret.
              • Har du aktivt samtykke fra kundene dine slik at du kan oppbevare opplysninger de gir deg, når de kjøper dine produkter eller tjenester? Se gjennom dokumentasjonen din og justér om nødvendig.
              • Har du etablerte retningslinjer og prosedyrer for håndtering av personopplysningene? Dette handler om hvordan et samtykke må gis og om bekreftelse er gitt til rett person. Det handler om hvordan personopplysninger flyttes og oppbevares. Sletting av opplysningene må gjøres på alle plattformer. Du må også vite hvordan du varsler ved et eventuelt datainnbrudd.

              «Våre kunder skal alltid kunne stole på at vi tar vare på og sletter de opplysninger vi mottar. På den måten som forventes av en profesjonell og moderne aktør i det norske forsikringsmarkedet.»

              (Marianne Brinch van Meenen, leder juridisk, ansvar og personskade i Codan Forsikring)

                Hvordan løse ulike markedsføringstiltak?

                Nyhetsbrev

                Skal du sende nyhetsbrev må du kunne dokumentere at aktivt samtykke er mottatt fra mottakeren. Det holder ikke lenger med en allerede avhuket boks. Personen må aktivt krysse av for å godkjenne at persondata kan lagres.

                Prospectlister

                Kjøper du markedsføringslister fra en leverandør er du selv ansvarlig for at samtykkeinformasjonen er riktig.

                Kundeleads fra messer og seminarer:

                Mottar du et visittkort fra en potensiell kunde må personen skriftlig godkjenne at kontaktinformasjonen kan registreres i bedriftens e-postliste før du foretar en registrering.

                  Aktuell forsikring

                  Kun to prosent av norske selskaper har en forsikring mot datakriminalitet som dekker datainnbrudd, misbruk av data, eller at verdifull informasjon blir borte på PC-er, telefoner og nettbrett.