GDPR - vi er forberedt, er du og bedriften klar?
Fra 25. mai 2018 skjerpes kravet til personvern for norske og europeiske virksomheter med et nytt EU-lovverk. Det vil påvirke alle bedrifter i alle sektorer. Det betyr at lovverket blir tilpasset et stadig mer digitalisert samfunn, men også at man kan risikere bøter for å la være å følge dem.Først og fremst betyr det nye regelverket at man må ha kontroll på dataene sine. De mest vesentlige punktene i det nye lovverket er retten til å bli glemt, rett til dataportabilitet, krav til personvernombud, lovkrav om internkontrollrutiner, dokumentasjonskrav, krav til databehandlere og krav til personvernerklæringer og samtykker.
I praksis betyr det at GDPR direktivet er et samarbeid mellom deg som kunde (behandlingsansvarlig), oss som it-driftsleverandør(databehandler) og programvareleverandøren du benytter (saksbehandlingssystemet). Som databehandler har vi i Smart Solution forberedt oss på dette lenge, og vi vil sørge for at du får en databehandleravtale i henhold til lovkravet.
Fordeler for kunder hos Smart Solution
Fordelene med ASP tjenester er at både PCene (Desktop'en) og og filserveren er en del av ASP tjenesten. Derved er hele lokalnettet og PCene sikret, en stor fordel når du trenger tilgang til personsensitive data når du er utenfor kontoret. Brukere av lokal eller skybasert programvare brukt fra lokale PCer må sikres dette utstyret om det skal benyttes utenfor kontoret. Det kan bli kostbart.
Vi har laget en kort orientering, med noen eksempler på hva de skjerpede personvernreglene som gjelder fra neste år vil bety i praksis.
Kontroll på data - personvern - retten til å bli glemt - rett til å få med seg sine data
Først og fremst betyr det nye regelverket at man må ha kontroll på dataene sine. De mest vesentlige punktene i det nye lovverket er retten til å bli glemt, rett til dataportabilitet, krav til personvernombud, lovkrav om internkontrollrutiner, dokumentasjonskrav, krav til databehandlere og krav til personvernerklæringer og samtykker.
Håndtering av informasjon
GDPR direktivet krever at dere har et aktivt forhold til hvordan dere oppbevarer, behandler og sikrer personsensitiv informasjon, og vil i praksis gjelde all klientinformasjon. Kravene i GDPR direktivet om utlevering av data, retten til å bli glemt samt dataportabilitet kan utløse behov for nye rutiner internt hos dere. Kanskje vil det også utløse nye krav til funksjonalitet i programvaren du benytter. Da er det viktig at de respektive programvare-leverandørene er på banen for å utvikle dette.
Spesielt vil det være to områder som blir viktig:
- Sikre at ikke data kommer på avveie.
Herunder
a. Din praksis med passord og sikring av datatilgang
b. Din praksis med hvordan data blir synkronisert til lokalt utstyr som blant annet bærbare PCer og mobiler, og til eksterne skybaserte lagringsområder.
- Hvor og hvordan du oppbevarer data.
Samtidig må du utpeke hvem som er ansvarlig for databehandlingen og dokumentere hvordan dette håndteres. Som eksempel under punkt 2 må du kunne svare på hvordan du skal møte en klients rett til å bli glemt. Er informasjonen som klienten ønsker slettet lagret i Outlook, kan det være problematisk å møte et slikt krav. Om slike data heller oppbevares i et saksbehandlingssystem, vil du trolig kunne håndtere kravet enklere. Det er med andre ord på tide å stille seg de riktige spørsmålene allerede nå!
For å ivareta den delen av GDPR direktivet som vi som databehandler kan gjøre noe med, er følgende klart:
1.Generell datasikkerhet
2-faktor autentisering for generell økt påloggingssikkerhet for alle brukere.
Det vil si at man ikke kan logge inn til dine data om passordet kommer på avveie uten en bekreftelse fra mobilen.
2. Informasjonsbehandling
Lokalt datautstyr (PC, lokalt e-post program, mobiltelefon og nettbrett skal som hovedregel IKKE settes opp til å synkronisere e-post eller personsensitive data mot Smart tjenesten. Om du likevel ønsker dette, må du bekrefte at mobiltelefon,bærbare PC' og nettbrett som er utenfor avlåst kontorlokale er:
i. beskyttet med passord eller fingeravtrykks-autentisering
ii. beskyttet med aktiv antivirus og brannmur løsning
iii. aktivert for fjernsletting om utstyret skulle komme på avveie, og gjøre deg kjent med denne løsningen.
Ikke benytte eksterne skybaserte lagringsområder uten å en databehandler-avtale med den respektive leverandøren som sikrer at du er innenfor GDPR direktivets krav.
Smart Solution leverer progamvareløsninger som administrere rettigheter på mobiltelefon, nettbrett og bærbare/stasjonære PC'er. Kontakt oss for tilbud på dette.
Under finner du en artikkel fra digi tidligere i år som beskriver de nye reglene litt mer i detalj:
Trykk her for å lese artikkel på Digi om GDPR disse 5 tingene må dere ha stålkontroll på!
MERK: Dette er IKKE en juridisk betraktning, men vi har her prøvd å trekke frem områder som er særlig aktuelle for våre kunder. Søk bistand i god tid - vi kan evnt bistå med kontakt til kompetente ressurspersoner/bedrifter som kan bistå dere.