PERSONVERN, GDPR og INFORMASJONSSIKKERHET

EUs forordning for personvern, The General Data Protection Regulation (GDPR), blir norsk lov, og nye personvernregler trer i kraft 25. mai i år. Det nye regelverket pålegger alle virksomheter både nye og strengere oppgaver og plikter, og hver enkelt av oss får nye individuelle rettigheter. Er du og din virksomhet forberedt?

De nye personvernreglene innebærer bl.a. at:

  • Alle virksomheter må sette seg inn i reglene, og alle ansatte og tilknyttede medarbeidere må følge reglene når de trer i kraft 25.05.2018. Det er m.a.o. ingen overgangsperiode.
  • Alle virksomheter må ha en forståelig personvernerklæring.
  • Den enkelte har rett til innsyn i ens personopplysninger, har rett til å korrigere, til å bli slettet fra registre (den såkalte "retten til å bli glemt"), samt rett til å overflytte personopplysninger fra en datalagrer (leverandør) til en annen, (såkalt "dataportabilitet").
  • Alle virksomheter skal vurdere risiko i forhold til sikring av personvernet.
  • Alle offentlige og mange private virksomheter må ha et personvernombud. Ombudet skal være  bindeledd mellom ledelsen, de registrerte og Datatilsynet. Personvernombud kan være en ansatt eller profesjonell tredjepart. Albaran tilbyr personvernombud.
  • Eventuelle brudd på personvernreglene skal varsles Datatilsynet innen 72 timer.

Datatilsynet gir på sine hjemmesider god veiledning om de nye personvernreglene, se https://www.datatilsynet.no/.

Det nye personvernregelverket gir en god foranledning til å sjekke status på virksomhetens rutiner. Gode rutiner er forebyggende og  kan på sikt bli mange penger spart. Gjennomgang og tilpasning behøver ikke gjøres veldig komplisert, og det bør gjøres ved hjelp av egnede verktøy.

  • Albaran Multisys har gjennom mange år arbeidet med disse problemstillingene, og har verktøy til kartlegging av hvor godt virksomheten ivaretar personvern og verktøy for vurdering av informasjonssikkerhetsrisiko, og kontraktsoppfølging.

Ved brudd på personvernreglene kan det bli tale om bøter inntil 4 % av samlet omsetning eller inntil 20 mill. EURO. Ansvar for tilfredsstillede internkontroll og informasjonssikkerhet, herunder personvern, påhviler styret/ledelsen i virksomheten, og brudd eller manglende oppfølgning, kan medføre ansvar for så vel virksomheten som sådan, som for styremedlemmer, ledelsen/den enkelte.

Informasjonssikkerhet og digitale trusler.
Regelverket om personvern må sees i sammenheng med behovet både virksomheter og hver og en av oss har i forhold til informasjonssikkerhet. Vi må kunne stole på informasjonens tilgjengelighet når vi trenger den, at den alltid er korrekt og ikke utilsiktet endret, og at den ikke kommer på avveie. Informasjon er en av de viktigste verdiene i en moderne virksomhet. Personopplysninger, Know How, bedriftshemmeligheter, løpende drift og prosesser er stadig oftere truet av ulike former for misbruk, industrispionasje eller vinningskriminalitet.

"Løsepengevirus" er for tiden den raskest voksende form for datakriminalitet. Viruset spres med epost og gjør virksomhetens elektroniske dokumenter utilgjengelige. Virus gjennom epost, nettsider eller minnepinner brukes også hyppig til industrispionasje og digital sabotasje.

Siden vi alle baserer oss på bruk av digitale medier for lagring av bedriftshemmeligheter, personopplysninger, kommuniserer pr. epost og telefon, og tar med oss PC i møter, på reise, osv., er det avgjørende at man er bevisst den digitale risikoen som er forbundet med slik bruk.

  • Hva er egentlig det digitale trusselbildet helt konkret? Hvor er risikoen? Hva er risikoen?
  • Hva kan eller bør som et minimum gjøres for å beskytte virksomheten mot digitale trusler?

Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og det nasjonale fagmiljøet for IKT-sikkerhet. NSM har flere nyttige veiledere og tips for IKT-sikkerhet, se https://nsm.stat.no.

Ved økt bevissthet og relativt enkle tiltak, kan meget gjøres for å få økt beskyttelse mot digitale angrep.

  • Albaran har laget en sjekkliste/test for å avklare hvor utsatt virksomheten er for digitale trusler.
    Ta gjerne kontakt for å få tilgang til denne.
  • Albaran tilbyr også kurs om problemstillingene som nevnt ovenfor.

Multisys/Albaran, 01.03.2018
Anders Dahl
Tore Amundsen
Tor Mundal
Tor Wilhelm Seim