FCG / Våre tjenester / Aktuelle tema / Personvernforordningen

Personvernforordningen


Den 25. mai 2018 trer den nye personvernforordningen i kraft, og vil være direktevirkende innenfor EU. Det legges opp til at regelverket skal innføres i Norge samtidig som i EU. Forordningen vil erstatte personopplysningsloven og innebærer en ekspandering i individuelle rettigheter og strengere krav til selskapenes behandling av personopplysninger.

Forordningen stiller store krav til selskapenes håndtering av personopplysninger, og vil føre til endringer både innenfor organisasjonen, IT, prosesser og styresett. Reguleringen vil innebære at de eksisterende kravene forsterkes, og det vil komme flere nyheter og endringer fremover. Allerede nå må selskap derfor treffe tiltak for å tilpasse seg kravene i forordningen. Hvis ikke kan man risikere strenge sanksjoner på inntil 20 millioner euro eller 4 % av global årsomsetning. Gitt omfanget av alle endringene som vil bli gjeldende på grunnlag av denne forordningen, er det på høy tid å starte det interne tilpasningsarbeidet.

De viktigste endringene som følge av den nye personvernforordningen, kan brytes ned til følgende punkter:

  • Individuelle rettigheter styrkes
  • Strengere krav til samtykke
  • Færre muligheter for nasjonale/regionale avvik
  • Krav til handling ved personopplysninger
  • Krav til konsekvensutredning (analyse) i enkelte tilfeller
  • Sterkere krav til roller og ansvar
  • Skjerpede regler ved grenseoverskridende handlinger
  • Høye straffer ved manglende etterlevelse

Hva må man gjøre

For å sikre etterlevelse med den nye forordningen kreves det at endringsarbeidet startes i tide. Nedenfor skisserer vi noen områder dere trenger å gjennomgå for å sikre igangsettelsen og effektiv fremgang i arbeidet.

Følg opp forordningen på ledernivå. Ledelsen må få forståelse for hva forordningen og de forandringene som følger av den innebærer hva gjelder ansvar og konsekvenser (ansvar for virksomheten og høye sanksjoner om forordningen ikke følges).

Karlegging av foretakets personopplysningshåndtering. Eneste måten å vite hvilke gap det spesifikke foretaket har mot kommende reguleringer/krav er å kartlegge hvordan nåsituasjonen er med hensyn til håndtering av personopplysninger. Det samme gjelder for sensitive personopplysninger da håndteringen av slike er forbundet med strengere krav.

Gjennomfør en GAP-analyse. For å muliggjøre tilpasningen av virksomheten til forordningens krav er det grunnleggende å gjennomføre en analyse, eksempelvis med utgangspunkt i GAP-metodikken, for å sammenligne hvordan personopplysninger behandles i dag mot målbildet, dvs. forordningens- og interne krav.

Se over organisering og roller samt oppnevne personvernombud. Det kommer til å kreves en tydelig intern organisering rundt virksomhetens personopplysningsbehandling og dermed også en tydelig ansvarsfordeling. Kunnskapen rundt de krav som følger av forordningen må gjennomsyre både ledelsen og beslutningstakerne, og forretningssiden og de som operativt arbeider med personopplysningshåndtering. Om foretaket har en omfattende håndtering av personopplysninger krever forordningen at et personvernombud skal oppnevnes og at ombudet tildeles tilstrekkelige ressurser.

Analyser IT-miljøet og påbegynn endringssarbeidet. En sentral del i forberedelsene er hvordan det eksisterende IT-miljøet påvirkes. Det er derfor viktig å tidlig gjennomføre en IT gjennomgang for å identifisere hvilke IT-system og databaser som håndterer hvilke personopplysninger og hvor disse lagres. Et område som er særskilt viktig å overvåke er at systemene lever opp til kravene til Privacy by Design (innebygd personvern).

Sikre at tid og budsjettmidler avsettes og påbegynn implementering. Da tiden er knapp og det er potensielle store endringer som må gjennomføres er det viktig å sette av tilstrekkelig med ressurser og penger. Implementeringen omfatter innføring av rutiner og prosesser, styringsdokument, IT-tilpasninger, juridisk gjennomgang og endringer i roller og ansvar.

Søk hjelp tidlig i prosessen. For å rekke å tilpasse virksomheten på en effektiv og kostnadsbesparende måte er det viktig å allerede nå begynne endringsarbeidet. FCG har en etablert ekspertgruppe innen området som har stor emnekunnskap og bred erfaring med regelverksimplementering. FCG har videre effektive metoder og arbeidsmåter for å bistå foretak utfra deres størrelse, kompleksitet og behov.

person

Hvordan kan FCG hjelpe

FCG tilbyr bistand til bedrifter som vil forberede seg på ikrafttredelse av personvernforordningen, noe som innebærer å tilpasse seg de spesifikke endringer og krav som reguleringen medfører. FCG har etablert effektive metoder og tilnærminger for å kunne bistå bedrifter med bakgrunn av deres størrelse, kompleksitet og krav. FCGs tilbud er omfattende, og våre tjenester strekker seg fra innledende GAP-analyser, utarbeidelse av systemer for behandling av personopplysninger, til forstudier, gjennomføring og ledelse av prosjekter.