Mine områder

Logg inn for å legge til dine favorittområder
GDPR
avbryt
Viser resultater for 
Søk heller etter 
Mente du: 
(updated by Turi M Sorensen VISMA ‎18-05-2018 09:22 )
Turi M Sorensen
  • 0 Svar
  • 0 Liker
  • 497 Visninger

Hva er GDPR? 

EU's nye forordning for personvern, GDPR (Generell databeskyttelsesforskrift) er en EU-omfattende databeskyttelseslov som er planlagt å tre i kraft i løpet av mai 2018. Den erstatter dagens databeskyttelsesdirektiv, som så dagens lys før Internettets æra, og nå ansees  som uegnet for en stadig mer økende digital økonomi og mer moderne teknologi.


Forskjellen mellom en EU-regulering og et direktiv, er at et "direktiv" kan implementeres ulikt i henhold til det enkelte lands nasjonale lover, mens en "regulering" er en lov. Dette betyr at EU (inkludert Norge gjennom EØS) vil gå fra 27 forskjellige databeskyttelseslover til en felles lov.
Til tross for fokuset i media, av advokatfirmaer osv., Som for det meste er å slette data (mer om det nedenfor), er GDPR også bra for virksomheten (for eksempel harmonisering).
Det er også verdt å merke seg at personvernloven ikke er noe nytt, og GDPR er ikke så forskjellig fra det vi har hatt til nå. To ting har dog endret seg:

  • Økt trussel om håndheving, og dermed ansvar, og enda viktigere;
  • Økt fokus og bevissthet fra markedet. Det vil si at etterlevelse av personvernet plutselig er etterspurt, og det kan vel vise seg å være en viktig konkurransefortrinn i årene som kommer.

Når blir GDPR gyldig for Norge?

Justis- og beredskapsdepartementet har kunngjort at den nye personopplysningsloven tidligst vil kunne settes i kraft i juli i år. Det kan ikke påregnes at loven vil kunne settes i kraft allerede den 25. mai, som er tidspunktet forordningen begynner å gjelde i EU. Når tidspunktet for EØS-komiteens beslutning er klart, vil et mer nøyaktig ikrafttredelsestidspunkt i Norge kunne angis.
Les mer om dette på Regjeringen.no

Er GDPR kun gyldig for personopplysninger? Personopplysninger er jo i langt de fleste sammehenger blandet sammen med andre typer data?

I teorien så gjelder GDPR strengt tatt kun personlige data. 
L
oven er i utgangspunktet rettet mot den registrerte, det vil si en enkeltperson, som mottaker av rettighetene gitt av loven.

Imidlertid er det i virkeligheten en god blanding. Om vi bruker Visma som eksempel, så har Visma gjennom sin rolle som en leverandør av nettbaserte tjenester, en god blanding av kundedata, våre egne testdata, osv. Alle disse dataene består av en blanding av personopplysninger og andre data, for eksempel økonomiske poster, transaksjonsdata etc. 
Personlige og ikke-personlige data kan ligge i samme database, tabell eller miljø. Og i noen tilfeller kan man som databehendler ikke nøyaktig definere hvor de personlige dataene befinner seg til enhver tid (f.eks scannede fakturaer som kan inneholde personopplysninger, men som må scannes for å behandles (OCR, analyse etc), eller en produksjonsdatabase med manglende dataklassifisering) 


I slike tilfeller har personvernloven en slags "smitteeffekt" som påvirker hele datasettet.
* Hvis det finnes personopplysninger i datasettet, gjelder personvernloven.
* Om det er stor sannsynlighet for at personopplysninger er der, f.eks med utgangspunkt i eksempelet med overnevnte fakturaer, så bør det antaes at dataene inneholder personopplysninger, og behandles deretter.
* Hvis man ikke klarer å anvende sikkerhetskravene for personopplysninger selektivt, så er den eneste løsningen å behandle hele saken som inneholdende personlige data. 

Kan hvem som helst be om få slettet sine personlige data når de måtte ønske det? 

Nei, man har ikke rett til å be om at personlig data skal slettes, bare fordi det er personlig data. 
Men, man kan, i noen tilfeller, forespørre at visse data blir slettet.
Hva slags personlig data som kan slettes, og hva det inneholder, avhenger av en rekke faktorer: 

grunnlaget for behandling, typen av data, dens fortsatte "relevans" med det formål å behandle, og hvorvidt andre lovbestemmelser "tilsidesetter" retten til å slette eller ikke.
Dvs. det er svært vanskelig å avgjøre hvilke data som kan og skal slettes, og beslutningen vil ofte avhenge av en normativ dom ("relevans" for eksempel).
For Visma som programvareprodusent / tjenesteleverandør har vi ikke den juridiske myndigheten til å bestemme dette. Kun kunden, i egenskap av databehandler(kontrollør, kan bestemme dette.
Visma vil ha en egen rutine for slike henvendelser fra våre kunder.

Personnumre / nasjonale identifikasjonsnumre er ikke sensitive?! Hvordan behandler jeg dem?

Personnumre, nasjonale identifikatorer, personlige identifikasjonsnumre som er vedlagt fødselsdatoene for å tillate identifikasjon, er ikke personopplysninger i henhold til loven. 
Imidlertid er de gitt spesiell beskyttelse og er i hovedsak konfidensielle, og bør som en hovedregel alltid krypteres.
 

Norge er ikke medlem av EU. Hva betyr dette for lover som GDPR, og mekanismer som Privacy Shield?

Norge er medlem av EØS (European Economic Area/Europeisk Økonomisk Samarbeid), og de fleste, om ikke alle, praktiske formål er underlagt de samme regler og forskrifter som EU-land i forhold til personvern. EØS-komiteen har formelt vedtatt en beslutning om å innlemme EU-US. Beskyttelse av personvernsdekning (Privacy Shield) i EØS-avtalen, anerkjenner rammen som en gyldig mekanisme for å overføre data fra EØS-medlemsland til USA fra 08.07.2017.

Hva er "Safe Harbour"?

"Safe Harbor" var en juridisk mekanisme som tillot overføring av personopplysninger mellom EU og USA. Det har siden blitt erstattet av Privacy Shield, og er ikke lenger en gyldig metode for overføring av data.

Hva er "Privacy Shield"?

 "Privacy Shield" er den juridiske mekanismen som erstattet Safe Harbor. Det er ganske lik, og derfor kritisert av mange av de samme grunnene (selvsertifisering for eksempel).
Les mer her:

NorSIS

Digi

Datatilsynet


Hva er "EU SCC", "Standard Contractual Clauses" og "Model clauses"?

Alle disse vilkårene refererer til det samme: standard EU-avtaler som kan brukes til overføring av personopplysninger mellom EU og USA. De ble mye brukt i perioden da Safe Harbor ble avsluttet, og Privacy Shield ennå ikke hadde trådt i kraft. De er fortsatt brukt der den amerikanske parten ikke er en del av Privacy Shield, eller om de ønsker det fordi f.eks er skeptiske i fhorhold Privacy Shield, eller annet.

Bidragsytere