Hvorfor må du ta hensyn til GDPR og personvern?

Dine personopplysninger er godt beskyttet gjennom personvernforordningen og GDPR. Enhver som må forholde seg til GDPR kan få kalde føtter. GDPR slår nemlig fast at alle har rett til å vite hva som skjer med deres personopplysninger når de registreres et sted.

Du må ha samtykke til å lagre dataene og ivareta personvernet når du behandler personopplysningene. Det skal også være enkelt å få innsyn i hvilke opplysninger som er lagret, endre disse eller trekke tilbake samtykke til lagringen. Du er altså nødt til å tenke på personvern, men med riktige systemer i virksomheten, trenger det ikke å være en vanskelig jobb. Adgangskontroll på data er et krav for mange.

Ha en tydelig og lettlest personvernerklæring

Behandlingen av personopplysningene burde omtales i deres personvernerklæring og tilgjengeliggjøres på deres nettside. Det er viktig å være tydelig på hvorfor dere lagrer data, og hvor lenge dere har til hensikt å lagre dem. Sett deg inn i prinsippene som ligger til grunn for personopplysningsloven og finn ut hva som er hensiktsmessig i deres tilfelle.

Dersom du samler inn opplysninger i et skjema med eget samtykkefelt, kan du bruke en setning eller to på å si det viktigste; hvor lenge opplysningene blir lagret og hva de skal brukes til. Husk at personvernerklæringen skal leses av dine kunder, og den bør derfor være så kortfattet og lettlest som mulig. Du kan for eksempel bruke kulepunkter til å ramse opp punkter og dele informasjonen inn i spørsmål og svar.

Lag gode rutiner for lagring og sletting av data

Når du samler inn personopplysninger, har du ansvar for å følge prinsippene for behandling i deres virksomhet. Det vil være en stor fordel å ha et internkontrollsystem for informasjonssikkerhet. Arbeidet med risikoene knyttet til behandling av personopplysninger blir satt i system og risikoene blir enklere å avsløre.

Det kan iverksettes tiltak ved å innføre rutiner for behandling og sletting. Med et profesjonelt system for håndtering av opplysninger kan du også slette persondata automatisk. Personopplysninger skal ikke lagres eller brukes utover det du har fått samtykke til. Når formålet med å samle inn opplysningene er nådd, skal opplysningene slettes.

Husk at persondata som er lastet ned til lokale maskiner også må behandles etter virksomhetens retningslinjer. Med gode rutiner i form av systematisk arbeid med datasikkerhet er det mye mindre risiko for at persondata kommer på avveie.

Sikker innlogging for databehandlere

Hvis du bruker et system for å samle inn personopplysninger, burde brukerne ha mulighet til å bruke tofaktorautentisering. Det er mulig å bruke flere trinn både med Singel Sign On og ved at brukerne selv har en app for autentisering. Det vil gi mindre risiko for at uvedkommende får tilgang til personopplysninger og er en av de beste tiltakene du kan gjøre.

Adgangskontroll sikrer dine data

Personopplysningene kan derfor være lagret i flere systemer og på ulike servere. Man bruker gjerne CRM for kundehåndtering, ERP for ressursplanlegging og et system for påmeldinger til arrangement. Derfor kan det være mange som har tilgang til dataene totalt. Det er en stor fordel å ha rutiner for adgangskontroll og begrense hvilke data brukerne kan se.

Det er også viktig å slette brukere som ikke skal ha tilgang lenger, samt lage gode rutiner for bytte av passord. Ved å koble opp mot SSO som har totrinnsverifisering blir dette svært enkelt for brukerne. Adgangskontroll vil gi deg en ekstra grad av sikkerhet.

Med et etablert system for informasjonssikkerhet i virksomheten og systemer med adgangskontroll, vil dere være godt rustet til å ivareta persondata.

Trenger du et system hvor du får sikker innlogging, tilgangsstyring og full kontroll på GDPR?

Book en demo og finn ut hvordan Pindena hjelper deg med personvern: