Kurs & Opplæring Konsulenttjenester Artikler Om oss Kontakt

Hva er GDPR og hvordan skal virksomheten behandle persondata?

datasikkerhet sikkerhet Nov 30, 2023
hva er gdpr

Klar for å lære mer om GDPR (General Data Protection Regulation)?

 

Vi starter med en kort og forståelig forklaring på hva GDPR er og hvorfor det er så viktig i dagens digitale verden. Deretter skal vi utforske nøkkelprinsippene til GDPR og hvordan de påvirker måten virksomheter behandler persondata på.

Vi tar også en titt på konsekvensene som kan inntreffe hvis GDPR ikke følges nøye, inkludert økonomiske sanksjoner og omdømmetap.

Til slutt skal du få eksempler på virksomheter som har brutt GDPR-regelverket, for å illustrere hvordan dette kan påvirke både virksomheter og enkeltpersoner.

 

Hva er GDPR?

GDPR, som står for "General Data Protection Regulation" eller personopplysningsloven på norsk, representerer en viktig lovregulering som har som mål å styrke beskyttelsen av personlige opplysninger innenfor EU.

Den trådte i kraft i mai 2018, og den gjelder for alle nettsider og tjenester som behandler data fra europeiske brukere. Dette inkluderer også nettsider og tjenester som opererer utenfor EU, men som samler inn eller behandler data fra enkeltpersoner som befinner seg innenfor EU.

GDPR har satt nye standarder for personvernpraksis og rettigheter for enkeltpersoner og har som mål å sikre at persondata behandles rett, og med forsiktighet og respekt.

Det er viktig å huske at dersom disse reglene ikke blir fulgt, kan det resultere i ulike typer sanksjoner og konsekvenser, avhengig av alvorlighetsgraden av bruddet.

 

Hva personopplysninger er – og GDPR nøkkelprinsipper

I henhold til GDPR refererer begrepet «personopplysninger» til all informasjon som kan knyttes til eller identifisere en person. Dette omfatter ting som navn, adresser, e-poster, telefornumre, IP-adresser, informasjonskapsler, og mye mer.

GDPR dekker også spesielle kategorier som rase eller etnisk opprinnelse, politiske meninger, religiøs tro og helseopplysninger.

 

GDPR er bygget på 7 nøkkelprinsipper som alle virksomheter må følge

 

De 7 nøkkelprinsippene er:

  1. Lovlighet, rettferdighet og åpenhet: Under GDPR må personopplysninger behandles på en lovlig, rettferdig og åpen måte. Dette betyr at virksomheter må gi klar informasjon til enkeltpersoner om hvordan og hvorfor dataen deres blir behandlet.
    For eksempel, hvis en nettbutikk samler inn kunders personopplysninger for å behandle bestillinger, må de informere kundene om dette formålet på en forståelig måte. Ifølge artikkel 12 av GDPR, MÅ forklaringen på hvordan du behandler data være forklart i et kort, enkelt og tydelig språk.

  2. Formålsbegrensning: Data skal kun samles inn for spesifikke, eksplisitte og legitime formål. Dette betyr at virksomheter ikke kan samle inn persondata uten en god grunn.
    For eksempel kan en HR-avdeling samle inn personopplysninger fra jobbsøkere kun for å vurdere deres kvalifikasjoner for en stilling, men ikke for andre formål som markedsføring.

  3. Dataminimering: GDPR krever at kun nødvendig data samles inn og behandles. Dette betyr at, for eksempel, bør ikke en nettside eller sosiale medier be om mer personlig informasjon enn det som er nødvendig for å opprette en brukerkonto.

  4. Nøyaktighet: Data skal være nøyaktig og oppdatert. Virksomheter bør sørge for at de har mekanismer på plass for å rette opp i feilaktige eller utdaterte opplysninger. Dette er, for eksempel, grunnen til at du ofte må bekrefte at visse opplysninger stemmer før du logger inn i banken din – for å hindre ID-tyveri, svindelforsøk og annen økonomisk kriminalitet.

    I tillegg til dette er det også viktig at de har riktige adresser, slik at informasjon kan bli sendt til riktig e-post, nummer eller postkasse. Det er også spesielt viktig at informasjon er nøyaktig for leger og sykehus, hvor feil informasjon kan få fatale konsekvenser.

  5. Lagringsbegrensning: Persondata bør ikke lagres lenger enn nødvendig, og for de opprinnelige formålene det ble samlet inn for. Grunnen til dette er at jo lenger data lagres, jo lengre tid har potensielle angripere til å forsøke å få tilgang til dem.

  6. Integritet og konfidensialitet: Virksomheter må beskytte persondata mot uautorisert tilgang, tap og ødeleggelse. Dette betyr at de må implementere sikkerhetstiltak som passordbeskyttelse, kryptering og tilgangsbegrensninger for å hindre at uvedkommende får tilgang til dataene.

  7. Ansvarlighet: GDPR krever at virksomheter viser at de overholder GDPR-prinsippene. Dette kan inkludere dokumentasjon av databehandlingsaktiviteter, utnevnelse av en databeskyttelsesansvarlig der det er nødvendig, og samarbeid med tilsynsmyndighetene for å vise at de følger regelverket.

 

Enkeltpersoners rettigheter

GDPR gir også enkeltpersoner en rekke viktige rettigheter når det gjelder deres personopplysninger. Disse rettighetene inkluderer:

  • Rett til å bli informert: Dette innebærer at enkeltpersoner har rett til å få klar og forståelig informasjon om hvordan deres personopplysninger blir behandlet. For eksempel, skal en nettside tydelig informere brukerne om hvordan de samler inn, lagrer og bruker personopplysninger.

  • Rett til innsyn: Enkeltpersoner har rett til å be om tilgang til sine egne personopplysninger. Dette gjør det mulig for dem å bekrefte at dataene er nøyaktige og å forstå hvordan de blir behandlet.

  • Rett til retting: Hvis enkeltpersoner oppdager feil eller unøyaktigheter i sine personopplysninger, har de rett til å be om at disse blir rettet. For eksempel, hvis en persons adresse er feil i et kunderegister, kan de be om at det blir korrigert.

  • Rett til sletting (rett til å bli glemt): Enkeltpersoner kan be om at deres personopplysninger blir slettet i visse tilfeller. Dette kan for eksempel være hvis opplysningene ikke lenger er nødvendige for formålet de ble samlet inn for, men det kan også være av personlige grunner.

  • Rett til å begrense behandlingen: I visse situasjoner har enkeltpersoner rett til å be om begrensning av behandlingen av deres personopplysninger. Dette kan være aktuelt hvis de bestrider nøyaktigheten av opplysningene.

  • Rett til dataportabilitet: Enkeltpersoner har rett til å motta kopier av sine personopplysninger og overføre dem til andre tjenester. For eksempel kan en person ønske å overføre sin kontaktliste fra en e-posttjeneste til en annen.

  • Rett til å protestere: Enkeltpersoner har rett til å protestere mot behandlingen av deres personopplysninger, spesielt i tilfeller av direkte markedsføring. Dette betyr at de kan protestere mot at deres opplysninger brukes til å sende dem reklame uten deres samtykke.

  • Rettigheter knyttet til automatisert beslutningstaking og profilering: Enkeltpersoner har rett til å unngå å bli underlagt avgjørelser som utelukkende er basert på automatisert behandling, hvis disse avgjørelsene har betydelige konsekvenser for dem. Dette kan gjelde for automatiserte kredittvurderinger eller jobbintervjuer basert på algoritmer.

 

Konsekvenser for virksomheter som ikke overholder GDPR

Som nevnt over, så får det konsekvenser for virksomheter som ikke overholder GDPR. Disse konsekvensene vil variere, avhengig av alvorlighetsgraden på bruddet eller bruddene.

Noen av de vanligste konsekvensene er de følgende:

  • Bøter: Tilsynsmyndighetene i hver EU-medlemsstat har myndighet til å ilegge økonomiske bøter for brudd på GDPR. Bøtenes størrelse kan variere avhengig av bruddets alvorlighetsgrad. For de mest alvorlige bruddene kan bøtene utgjøre opptil 4% av virksomhetens årlige omsetning, eller opptil 20 millioner euro, avhengig av hva som er høyest. I Norge er Datatilsynet tilsynsmyndighet.

  • Midlertidige eller permanente begrensninger i databehandling: En virksomhets mulighet til å behandle persondata kan bli midlertidig eller permanent begrenset hvis GDPR ikke blir overholdt.

  • Advarsler og irettesettelser: Tilsynsmyndighetene kan gi virksomheter advarsler eller irettesettelser for mindre alvorlige brudd på GDPR.

  • Undersøkelser: Tilsynsmyndighetene kan igangsette undersøkelser for å avdekke brudd på GDPR. Dette kan innebære inspeksjoner, innsamling av dokumentasjon og intervjuer med ansatte.

 

Omdømmetap

I tillegg til dette er det også andre faktorer som kan påvirke en virksomhet. Tap av omdømme er en av disse faktorene.

Brudd på personvern kan føre til negativ omtale og kan skade tilliten til både kunder og brukere. Dette kan ofte utgjøre betydelig større utfordringer enn bøtene.

Det er også verdt å merke seg at enkeltpersoner har rett til å saksøke virksomheter for brudd på personvernrettigheter. Dette kan føre til erstatningskrav og påføre virksomheten betydelige juridiske kostnader i tillegg til potensielle erstatningsutbetalinger. Derfor er det ikke bare de regulatoriske sanksjonene, men også de omdømmemessige og juridiske konsekvensene, som gjør det avgjørende for organisasjoner å overholde GDPR.

Det er ikke bare de regulatoriske sanksjonene, men også de omdømmemessige og juridiske konsekvensene, som gjør det avgjørende for organisasjoner å overholde GDPR.

Henrik Selje Bygnes

 

Eksempler på virksomheter som har brutt GDPR og konsekvensene de fikk

GDPR er utrolig viktig for brukerne, da den beskytter deres personvernrettigheter og gir dem kontroll over hvordan deres personopplysninger behandles.

Selv store virksomheter som Google og Facebook har fått store bøter som følge av brudd på GDPR, og det er sannsynlig at flere bøter vil komme i fremtiden.

Virksomheter står stadig overfor økonomiske sanksjoner som følge av feil og mangler i deres behandling av personopplysninger. Noen velger også bevisst å unngå å følge visse GDPR-krav.

I mai 2023 mottok Meta (tidligere Facebook) en rekordstor bot på hele 1,2 milliarder euro. Dette er den største boten som noensinne er ilagt i henhold til GDPR. Boten ble utstedt som følge av usikker overføring av personlige data fra USA til Europa.

Det er ikke er første gang Meta har blitt ilagt sanksjoner i henhold til GDPR. Den 4. januar 2023 mottok de en bot på 390 millioner euro, og i november 2022 fikk de en bot på 265 millioner euro. Et par måneder tidligere, 5. september, fikk de en annen bot på 405 millioner euro.

Disse tidligere bøtene viser et mønster av gjentatte brudd på personvernreglene, og understreker viktigheten av å følge GDPR for alle virksomheter som behandler personopplysninger.

Google har også opplevd mange brudd på GDPR, noe som har resultert i bøter på flere hundre millioner dollar.

Et eksempel på dette er Google Plus, som var Googles svar på Facebook. Plattformen ble stengt ned etter et alvorlig sikkerhetshull som eksponerte den personlige informasjonen til mer enn 500 000 brukere. Google valgte å ikke informere brukerne om dette da feilen ble oppdaget. Dette førte til at Google mottok en GDPR-bot på omtrent 50 millioner dollar, og de stengte da ned plattformen.

 

Jevnlig testing av om GDPR overholdes

Det er viktig å gjennomføre jevnlige tester for å sørge for at GDPR overholdes, og å være forberedt på om det skulle gå galt.

Det kan være vanskelig å overholde GDPR, og å være forberedt på mulige uforutsette hendelser.

I tillegg til dette så endrer IT-landskapet seg stadig, og det er nye samarbeidspartnere som må kunne stoles på.

Selv de største virksomhetene, uavhengig av deres ressurser, er ikke immune mot feil. Derfor er det avgjørende å ha eksperter som regelmessig kan utføre omfattende revisjoner og tilby nødvendig opplæring til virksomheten.

Husk at dette er noe vi kan bistå arbeidsplassen din med, dersom dere ikke har eget personell til å utføre slikt arbeid.


Henrik 

 

En podcastserie om IT-sikkerhet

Om du vil høre ukens artikkel som en podcastepisode, så finner du den på IT-sikkerhetspodden – en miniserie om IT-sikkerhet som Henrik Selje Bygnes har utarbeidet for og med Einang Safety. Henrik er utdannet digital etterforsker, og er i Einang Safety sine øyne et unikum med sin solide kunnskap og behagelige vesen.

Miniserien om IT-sikkerhet kan du høre her, eller du kan høre den på Spotify og andre steder der du pleier å lytte på podcast.

 

Hvorfor en podcastserie om IT-sikkerhet?

En slik podcastserie var noe vi bare "måtte" lage i håp om at den kunne gi virksomheter en verdifull innsikt, rådgivning og oppdateringer om digitale trusler og beskyttelsesstrategier.

...Og om IT-sikkerhetspodden hjelper virksomheter der ute i Norges med å navigere tryggere i den digitale jungelen, og styrke sin digitale sikkerhet? 
Ja, da kan vi rett og slett tenke: "Mission Complete".

---------------------------------------------------------------------------

 

Hvis du vil ha hjelp til å sikre din virksomhet mot IKT-angrep, kan vi i Einang Safety hjelpe deg.

Vi har lang fartstid bak oss innen digital etterforskning og etterretning, og vi vet hvordan du kan sikre virksomhetens IKT-systemer og den informasjonen dere har lagret – såkalt IKT-sikkerhet eller «cybersikkerhet». Eller datasikkerhet, for å bruke et folkelig uttrykk.

Ta kontakt med oss enten du vil ha en gjennomgang av IKT-sikkerheten, eller hvis du vil at vi skal komme og ha en temasamling eller fagdag med de ansatte om viktigheten av en god IKT-sikkerhetskultur. Vi kan også tilby kurs innen IKT-sikkerhet som vi kan spisse mot din arbeidsplass.

Du finner kontaktinformasjonen vår her.

Kategorier

Alle kategorier akutt forurensning arbeidsmiljø beredskap beredskapsanalyse brann og redning brannforebygging brannvern datasikkerhet forberedt forebyggendeanalyse hms ikt industrivern internkontroll kommunikasjon krisehåndtering ledelse lederskap mediehåndtering miljørisikoanalyse mål nlp psykososialt arbeidsmiljø ptsd risiko sikkerhet skoleskyting stress svinn systematisk hms-arbeid team teamarbeid verneombud øvelse