Eduquiz: GDPR fra Basefarm sommeren 2017 Blir du klar til mai 2018? Rekker du å bli klar til GDPR trer i kraft fra mai 2018? Mange er usikre på hva det nye regelverket innebærer og hva som må gjøres. Er du en av disse, eller ligger du kanskje bedre an enn du tror? Ta vår lille eduquiz og få en pekepinn! The General Data Regulation Protection (GDPR) regulerer innsamling og håndtering av personopplysninger. Riset bak speilet kan være bøter i millionklassen. God håndtering av personopplysninger er på den annen side god kundepleie og både lojalitets- og omdømmebyggende. Gjennomgående ligger personopplysninger i IT-systemer. Som leverandør av virksomhetskritiske ITtjenester er det naturlig for oss i Basefarm å bidra med råd, veiledning og tekniske tiltak vedrørende GDPR. EduQuiz-en (educational quiz) vil høyst sannsynlig gi deg ny kunnskap i tillegg til å vise hvordan dere ligger an. Uansett kan Basefarm bistå i arbeidet med GDPR. Våre egne eksperter kjenner regelverket i dybden. De kan gjennomføre organisatorisk og teknisk tilrettelegging av IT-systemer så de fungerer i samsvar med forordningen. BASEFARM AS - NYDALEN ALLÉ 37A - 0484 OSLO - NORGE TEL. +47 4000 4100 - FAKS +47 4000 4080 - WWW.BASEFARM.NO - POST@BASEFARM.NO ORGANISASJONSNUMMER 982 211 743
Spørsmål (se svarene og evalueringen nederst i dokumentet) Spørsmål 1 Oppvarming! Har din bedrift begynt å jobbe med GDPR-samsvar/compliance? Spørsmål 2 Gjelder GDPR alle typer virksomheter? Spørsmål 3 Har dere oversikt over hvilke type personopplysninger som dere samler inn og fra hvilke kilder? Spørsmål 4 Har dere oversikt over hvor personopplysninger (data) ligger lagret (ERP, HR/lønn/reiseregning, CRM, netthandel, nettsted/persontilknyttede cookies, intranett m.fl.)? Spørsmål 5 Kan din virksomhet dokumentere hvordan og på hvilket grunnlag den behandler personopplysninger? Spørsmål 6 Har dere et opplegg for å bygge personvern inn i nye IT-løsninger? Spørsmål 7 Har dere rutiner for avvikshåndtering i forhold til håndtering av personopplysninger? Spørsmål 8 Er denne type forordning (GDPR) nytt i Norge? www.basefarm.no 2 av 6
Spørsmål 9 Etterlever virksomheten din personopplysningsloven i dag? Spørsmål 10 Vet du hva GDPR innebærer utover dagens personopplysningslov? Spørsmål 11 Kan dere outsource GDPR-ansvaret? Spørsmål 12 Kan EU GDPR (personvernforordningen) påvirke organisasjoner/bedrifter i Norge som er utenfor EU? Spørsmål 13 Er dataene fra EU-borgere som er lagret utenfor EU også pålagt GDPR? www.basefarm.no 3 av 6
Svar (se evaluering nederst i dokumentet) Spørsmål 1 Poeng også for vet ikke fordi du mest sannsynlig blir nysgjerrig på å undersøke. Og det er bra! =3 poeng =0 poeng =1 Spørsmål 2 Type spiller ingen rolle så lenge virksomheten lagrer og behandler personopplysninger fra EU-borgere. =3 poeng =0 poeng =0 Spørsmål 3 Det er viktig å kategorisere personopplysninger, utover finnes det 2 hovedkategorier: den første går på sensitive og den andre på ikke-sensitive personopplysninger. =3 poeng =0 =1 Spørsmål 4 En virksomhet må vite dette. Virksomheter/bedrifter som har overført personopplysninger utenfor EU eller et godkjent land må ha avtaler og vilkår på plass for dette. =3 poeng =0 =1 Spørsmål 5 Et av de viktige prinsippene for det nye personvernregelverket er at det er virksomheten som bruker personopplysningene som har ansvar for at personvernprinsippene overholdes. Behandlingsansvarlig skal blant annet sørge for tilstrekkelig og forholdsmessig sikkerhet, at personopplysningene er sikret mot uautorisert eller ulovlig behandling eller utilsiktet tap, ødeleggelse eller skade. https://www.datatilsynet.no/regelverk-og-skjema/veiledere/nytt-ominformasjonssikkerhet/?id=7200#content_1 =3 poeng =0 poeng =0 Spørsmål 6 Nye systemer skal designes på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer. =3 poeng =0 poeng =0 Spørsmål 7 Krav fra GDPR. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. www.basefarm.no 4 av 6
=10 poeng =0 poeng =1 poeng for erkjennelsen Spørsmål 8, vi ligger allerede brukbart an i Norge med Personopplysningsloven. =0 poeng =3 poeng =0 Spørsmål 9 Følger dere loven, ligger dere allerede godt an og får en stor poengscore i denne testen! =30 poeng =0 poeng Delvis=5 Spørsmål 10 Gjør du det, har du rammeverket for GDPR-compliance godt innunder huden og får en solid poengscore! =10 poeng =0 poeng Spørsmål 11 en bedrift eller dataansvarlig har alltid ansvar for å ivareta personvern overfor sine kunder/forbrukere, men kan samarbeide om oppgaven med en tjenesteleverandør (databehandler) som Basefarm som kan ta det praktiske ansvaret. =0 poeng =3 poeng =0 poeng Spørsmål 12 Alle organisasjoner i verden som tilbyr tjenester til et EU-land er pålagt EU GDPR og må ta hensyn til personvern i trå med forordningen. =2 poeng =0 =1 Spørsmål 13 GDPR krever ordninger rundt dataoverføring utenfor et EU-land. Husk databehandleravtale (og BCR = Binding Corporate Rules)! - 3 poeng o poeng 1 poeng www.basefarm.no 5 av 6
Evaluering 46 poeng eller mer: Compliance med GDPR er godt innenfor rekkevidde. Stå på, så rekker dere tidsfristen. 24-45 poeng: Dere har mye på plass, men mye tyder på at dere må sette dere inn i GDPR-regelverket og systematisere rutiner og dokumentasjon for innsamling og håndtering av personopplysninger. 0-23 poeng: Ligger du opp i mott 23 poeng, så har du en god porsjon kunnskap og oppmerksomhet rundt GDPR og håndtering av personopplysninger. Kanskje på tide å skaffe seg full oversikt over situasjonen internt? Tiden flyr frem til 1. mai 2018 og det kan være på sin plass å kjøre på for å komme i havn med GDPR til da. www.basefarm.no 6 av 6