5 trinn for å komme igang med GDPR 


1. Trinn: Handlingsplan for GDPR arbeidet og internkontrollsystemet


( se denne filmen som forklaring)

I handlingsplanen din skal du ha oversikt over hva du må gjøre nå og hva du kan gjøre senere iforhold til internkontrollsystemet. Du skal lage en liste over arbeidet du må gjøre rett og slett, og alt må få en dato og ansvarlig person !

( Selve oppsettet av og gjennomføring av internkontrollsystemet gjør vi i trinn 4 - det er en overordnet plan og skiller seg fra handlingsplanen som skal være konkret og detaljert)

A: Hva skal jeg finne ut 

Du må finne ut blandt annet om

  • personopplysninger brukt i firmaet eller samlet inn av eller gjennom ditt firma
  • personopplysninger om ansatte
  • hvilke type opplysninger er det - er noen sensitive
  • om du er både behandlingsansvarlig og databehandler - eller bare behandlingsansvarlig
  • Hvilke firmaer oppbevarer data for dere
  • Har dere en skyløsning eller backup løsning
  • Finnes det papirer som står åpent tilgjengelig for alle som inneholder sensitiv informasjon
  • Hvilke type informasjon finner jeg på eposter, hardisker og ipader i mitt firma - finnes det personopplysninger der
  • Hvordan sikrer jeg at eposter som sendes ut er "lovlige"
  • O.s.v.

 ( i en slik liste vil det også stå mange ting som du kanskje ikke får gjort noe mer før om noen år, men det kan du bestemme senere gjennom risikoanalysen som du skal gjøre i trinn 5)

B: Hvordan finner jeg denne informasjonen.


Sett deg ned sammen med noen i bedriften din for å finne ut hvor er det dere oppbevarer personopplysninger.

Finn ut om det er noen opplysninger dere registrerer som er sensitive - altså at de handler om helse, eller andre konfidensieller ting. Det at en opplysning er sensitiv kan også være at den sier om du er medlem i et trossamfunn, hvilken organisasjon du tilhører og hvilken legning du har.

Veldig mange arbeidsgivere har noen sensitive opplysninger på sine datamaskiner i forbindelse med sykefravær hos ansatte. Det er viktig at disse opplysningene behandles med høyere sikkerhet enn vanlig personopplysninger.

Uansett hvilke typer personopplysninger det er - om de er "vanlige" eller sensitive - så skal du skaffe en oversikt over hvilke opplysninger det er.

Typisk har du opplysninger om

Kunder, ansatte, samarbeidspartnere, eiere og andre mennesker du er i kontakt med knyttet til driften av firmaet.

Hvis du har et kontaktskjema på din nettside hvor en person kan gi deg sitt navn , telefonnr og epostadresse så samler du inn personopplysninger i tillegg til å ta vare på de du trenger. 

Samle alle typer av kategorier du oppbevarer:
Navn, telefonnummer, adresse, epost os.v.

Vi er da klare for å gå til trinn 2

Den første nøkkelen til å jobbe med GDPR er å få oversikt over alle personopplysninger i bedriften





Har du lagret noen sensitive personopplysnigner.

Se også  trinn 2, 3 , 4 , 5 og 1

Se også film på Youtube

 

Del denne siden med andre!

Share on FacebookShare on Twitter

Personvernerklæring