Varsel til Datatilsynet om personvernbrudd

Skjer det et brudd på personopplysningssikkerheten (personvernbrudd), skal dette varsles til Datatilsynet uten ugrunnet opphold og om mulig innen 72 timer. Ved et personvernbrudd tikker altså klokka, og ting må skje rimelig raskt og effektivt. Det må innhentes informasjon, vurderes om det skal sendes varsel til Datatilsynet, vurderes hvem som skal varslet, innholdet i varsel, og ikke minst sende inn varselet. Det vil trolig komme inn nær 1000 varsler til Datatilsynet innen årets utløp. Nedenfor gis det en oversikt over reglene for varsel, slik at man har en oversikt når det må vurderes å sendes et varsel. Det er imidlertid vanskelig å arbeide med varselet i Altinn, og du finner derfor et arbeidsdokument for varsel til slutt i artikkelen.

Fortsett å lese Varsel til Datatilsynet om personvernbrudd

Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPR

Etter GDPR skal det kunne dokumenteres at behandlingen skjer etter reglene i GDPR og at det er gjennomført organisatoriske og tekniske tiltak for å sikre personopplysningene.

Hva som ligger kravet til dokumentasjon er ikke klart etter GDPR, og det er nok mange behandlingsansvarlige som ikke har dokumentasjonen på plass.

Fortsett å lese Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPR

Sett eposter for sletting og lag slettepolicy i Outlook for å håndtere ustrukturerte personopplysninger

Ustrukturerte personopplysninger (dvs. personopplysninger som ikke er organisert etter navn eller andre kriterier, som personopplysninger i epost, dokumenter på filområder mv.) er en utfordring for pliktene etter GDPR.

Fortsett å lese Sett eposter for sletting og lag slettepolicy i Outlook for å håndtere ustrukturerte personopplysninger

Veileder om behandlingsansvarlig og databehandler fra Datatilsynet

Hvem som skal anses som behandlingsansvarlig og hvem som er databehandler, og om det overhodet foreligger et databehandlerforhold, er ikke enkle spørsmål å besvare.

Fortsett å lese Veileder om behandlingsansvarlig og databehandler fra Datatilsynet

Første generelle rapport etter tilsyn under GDPR klar i Sverige med mange brudd

Den svenske Datainspektionen har hatt tilsyn i 412 selskaper og offentlige myndigheter for å undersøke om det er utnevnt og registrert personvernombud etter reglene i GDPR.

Fortsett å lese Første generelle rapport etter tilsyn under GDPR klar i Sverige med mange brudd

Krever GDPR at databehandler gir en garanti til behandlingsansvarlig?

Etter GDPR artikkel 28 skal behandlingsansvarlig kun bruke “databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter”.

Fortsett å lese Krever GDPR at databehandler gir en garanti til behandlingsansvarlig?

Hvor går Datatilsynet videre?

I et innlegg på Personvernbloggen går Datatilsynets direktør Bjørn Erik Thon gjennom de viktigste personvernhendelsene det siste året og erfaringer fra Datatilsynet. I innlegget kommer det også frem noen viktige “takeaways”.

Fortsett å lese Hvor går Datatilsynet videre?

Behandlingsansvarlig eller databehandler eller begge deler?

Å avgjøre om hvem som er behandlingsansvarlig (“controller”) og hvem som er databehandler (“processor”) er i mange tilfelle ikke enkelt, og oppleves som en vanskelig vurdering av mange med god grunn. Spesielt når det skal inngås databehandleravtaler, og avgjøre hvem skal inngå databehandleravtale med hvem, og hvem skal ha hvilke roller i avtalene. Da er det viktig å ha det klart for seg hva som har betydning og hva som ikke har betydning i vurderingen av hvem som er behandlingsansvarlig og hvem som er databehandler. Men det foreligger databehandlerforhold i mindre grad enn mange tror, og det inngås i dag alt for mange databehandleravtaler eller databehandleravtaler som dekker mer enn de skal. Fortsett å lese Behandlingsansvarlig eller databehandler eller begge deler?